La función de la seguridad en
cloud computing de confianza
White paper
Contenido
I. Descripción general página 1
II. Cloud Computing pública: escalabilidad y tenencia múltiple página 2
III. Los retos de la nube: la seguridad es el gran interrogante página 3
Relaciones cambiantes página 3
Estándares página 3
Portabilidad entre nubes públicas página 4
Confidencialidad y privacidad página 4
Controles de acceso viables página 4
Cumplimiento de normas página 4
Niveles de servicio de seguridad página 5
IV. Principios para la protección de la nube: seguridad de la identidad,la información y la infraestructura página 5
Seguridad de la identidad página 5
Seguridad de la información página 6
Seguridad de la infraestructura página 7
V. Conclusión página 8
¿Cuáles son las implicaciones para la seguridad de cloud computing?
El entusiasmo por cloud computing está tan
relacionado con el aspecto económico como con la
tecnología. El aumento de las aplicaciones y del
volumen de datos que deben administrarse ha
convertido a los data centers en un elemento
importante del gasto corporativo, sin un final
previsto. La cloud computing pública parece ser una
forma de manejar algunos de estos costos.
El concepto de cloud computing es sencillo: se
reemplazan los recursos de TI que demandan mucho
capital y deben administrarse de manera interna por
capacidad y servicios de TI de “pago por uso”
contratados a precios básicos. Estos servicios están
diseñados a partir de nuevas tecnologías, como la
virtualización y las arquitecturas orientadas al
servicio, y aprovechan Internet a fin de reducir el
costo de los recursos de hardware y software de TI
para servicios informáticos, redes y almacenamiento.
Al mismo tiempo, las empresas están usando los
mismos conceptos y las mismas tecnologías para
crear nubes privadas, a fin de aprovechar los
servicios de TI básicos y centralizados que satisfacen
sus necesidades de seguridad.
Hoy en día, las implementaciones de nubes públicas
y privadas deben comprender un conjunto adecuado
de principios de seguridad y, por lo tanto, garantizar
a los usuarios y los clientes un ambiente de cloud
computing de confianza.
I. Descripción general
En esta etapa temprana del desarrollo de nubes públicas, lasofertas son una combinación de aplicaciones empresarialesconvencionales y para el consumidor de activos queadministran datos relativamente poco delicados, como el correoelectrónico, los servicios de mensajería instantánea y losespacios web compartidos, y aquellas que manejan datos másdelicados, como Salesforce.com yMozy de EMC. No obstante, sicloud computing pretende satisfacer las necesidades de laempresa en relación con la confidencialidad de los datos delCliente y el cumplimiento de las directivas legales, deberáproporcionar niveles más altos de seguridad para brindarsoporte a aplicaciones empresariales más delicadas.
La cloud computing pública también incorpora nuevosinteresados en la ecuación de la seguridad (proveedores deservicios de otros fabricantes, proveedores y contratistas deinfraestructuras) y reduce el control que TI tiene sobre cadauna de estas áreas.
1White paper de RSA
Si cloud computing tiene éxito como una alternativa al datacenter corporativo, los departamentos de TI requeriránrelaciones con proveedores de nubes que les permitanconfiar en los servicios de nube y verificar los eventos en lanube. Deberá soportar con eficacia un alto nivel deseguridad, similar al de los modelos actuales centrados encontroles, y deberá implementarse de modo que permita alas empresas confiar en las partes que se extienden de suspropios data centers hacia una nube pública.
Cloud computing pública incorporanuevos interesados en la ecuación deseguridad y reduce el control de TI.
Cambios de paradigma
Cadena de abastecimiento confiable
Responsabilidad de seguridad
El universo digital en expansión
Nubes privadas
EmpleadosTI
empresarialProveedores Proveedores
de servicios
Personas EmpresasSeguridad de la nube
Datos
Clientes
Nubes públicas
Data Centers
Crecimiento de la información Retos de TI
Ecosistema de seguridad digital
II. Cloud Computing pública:escalabilidad y tenencia múltiple
La cloud computing pública describe una arquitecturainformática que amplía el enfoque orientado al servicio(ejemplificado en conceptos, como “utility computing”,“arquitecturas orientadas al servicio” y “software como unservicio”) en un modelo de mercado. Los proveedoresofrecen servicios que “se ejecutan en la nube”, dado que esposible acceder a ellos por medio del Protocolo de Internet ytienen una ubicación independiente, lo que significa que losusuarios no necesitan conocer el lugar en el que seencuentran los recursos de TI subyacentes.
Los servicios de nube tienen dos sellos distintivos: sonescalables (los recursos requeridos de almacenamiento ypotencia informática pueden aumentarse o disminuirse enfunción de las necesidades de los clientes) y son de tenenciamúltiple (proporcionan almacenamiento simultáneo y segurode servicios para diversos clientes utilizando los mismosrecursos de la infraestructura de nube). La cloud computingactual comprende tres tipos de servicios:
– Software como un servicio (SaaS). Una aplicación sealmacena como un servicio proporcionado a los clientes.Entre los ejemplos, se incluyen la aplicación web CRM,de Salesforce.com, y Gmail y Google Docs, de Google.
– Plataforma como un servicio (PaaS). La combinación deservicios de software e infraestructura con herramientas dedesarrollo de aplicaciones, de modo que las aplicacionesy los servicios web puedan crearse y almacenarse. Entrelos ejemplos, se incluyen Google AppEngine y AppExchange,de Salesforce.com.
– Infraestructura como un servicio (IaaS). Lasfuncionalidades generalmente proporcionadasde manera local, mediante un equipo deescritorio o un data center, se ofrecencomo recursos remotos, de modo queun Cliente pueda definir y administrartareas informáticas o de almacenamiento.Entre los ejemplos, se incluyen losservicios de almacenamiento basadosen políticas Atmos, de EMC, y ElasticCompute Cloud (“EC2”), de Amazon,para servicios informáticos.
No obstante, antes de que cloudcomputing pueda estar a la altura de loque promete a las empresas, necesita más
refinamiento, especialmente, en el área deseguridad. Hasta la fecha, la mayoría de las
aplicaciones orientadas a las nubes públicas hansido aplicaciones centradas en el consumidor
creadas en función del almacenamiento de datos básicosy el procesamiento de transacciones. En esta etapa inicial,las aplicaciones y los datos que se procesan en las nubesno son predominantemente delicados, y los servicios denubes ofrecen seguridad mínima o con disponibilidadgeneral. Las ofertas de nubes en sí son islas informáticaspatentadas, con pocos estándares y posibilidadeslimitadas de interoperabilidad.
Las tendencias en el crecimiento de la informaciónsimplemente aumentarán la urgencia del problema paralas empresas. En el estudio “The Expanding DigitalUniverse” (El universo digital en expansión), de IDC, “seanaliza el explosivo crecimiento en el volumen deinformación delicada que se crea; la proporción en la quese crean y se almacenan los datos crecerá seis veces parael año 2010”. El estudio destaca que, si bien las personascrearán información mayormente digital, las corporacionesserán responsables de la seguridad, la privacidad, laconfiabilidad y el cumplimiento de normas de, al menos, el85% del universo digital en rápida expansión.
Resulta claro que la cloud computing pública debe ser mássegura para que las empresas la acepten más. Con esteavance, la confianza y la verificación serán nuevamente losactivadores clave de la seguridad. Las empresasnecesitarán garantizar la confidencialidad, la integridad yla disponibilidad de los datos cuando terceros en lacadena de servicios de nube los transmitan, losalmacenen o los procesen.
2 White paper de RSA
Niveles de seguridad
Servicios flexibles
Tenencia múltiple
Escalabilidad
IAAS
PAAS
SAAS
MáximoSeleccionado
Mínimo
Capacidades esenciales de la nube
proveedores de servicios, etc.) deben considerarse atentamentea medida que la cloud computing pública evoluciona paraadministrar datos empresariales delicados.
Los data centers convencionales cuentan con seguridadbasada en estructuras similares a fortalezas que protegen losdatos dentro de infraestructuras físicas de hardware y desoftware seguras: su seguridad depende principalmente delcontrol del acceso de los usuarios y las personas encargadasdel mantenimiento de datos e infraestructura. En cloudcomputing, aún existe un data center en algún lugar, pero¿quién lo controla? Cloud computing disipa muchos de loslímites de seguridad corporativa tradicionales y sustituye lascadenas de custodia transitorias de los datos, lo que conllevaimportantes implicancias para la seguridad y la confianza delos datos y las aplicaciones empresariales confidenciales.
El uso compartido del control plantea muchas preguntas sobrela responsabilidad. ¿Cómo sabrá qué empleados de suproveedor de nube tienen acceso a la información y lasaplicaciones? Ese acceso debe ser detallado, de modo quesolo pocas personas seleccionadas que puedan controlarsetengan acceso amplio.
Estándares
Antes de que los datos delicados y reglamentados se trasladen ala nube pública, se deben enfrentar los problemas de estándaresde seguridad y compatibilidad, entre ellos, la autenticaciónsólida, la autorización delegada, la administración de clavespara datos encriptados, la protección contra la pérdida de datosy la creación de informes reglamentarios. ¿Cómo se cumpliránestos requerimientos en las infraestructuras de nubeindividuales y en varias nubes seleccionadas por el consumidorcomo mejores prácticas? Los proveedores de servicios de nubeactuales pueden convertirse en modelos de facto en función delos cuales pueden emerger la seguridad y la federación de loscontroles de autorización. O bien, es posible que, del trabajoactualmente realizado por diversos organismos, surjan lasrespuestas a preguntas, como qué estándares actuales sepueden aplicar a cloud computing, qué brechas existen y quéestándares nuevos deben desarrollarse.
3White paper de RSA
III. Los retos de la nube:la seguridad es el gran interrogante
Aprovechar cloud computing significa importantes cambios paralas organizaciones de TI de la empresa. El más grande será ladisminución del control aun cuando se les asigne la tarea deasumir una mayor responsabilidad por la confidencialidad y elcumplimiento de normas de las prácticas informáticas en laempresa. Esto hace que la seguridad sea un problemaimportante, dado que los departamentos de TI supervisan losservicios de nube y a los proveedores.
Relaciones cambiantes
Un problema clave para cloud computing es que los aspectos dela seguridad de infraestructura tradicional van más allá delcontrol de una organización y se desplazan a la nube. Esto darálugar a cambios fundamentales en la cantidad y en las funcionesde los interesados en la seguridad, ya que las empresas entreganel control de la infraestructura y de los procesos de seguridad acontratistas externos. Las relaciones de confianza entre losdiversos interesados en la nube (usuarios, corporaciones, redes,
Administración de riesgosRendimiento
Diseño, capacidadde implementación
SLA de seguridad de la nube
Buen manejo y control
Retos de seguridad de la nube
Antes de que las empresaspuedan usar nubes de manera másinnovadora, se deben mejorar lastecnologías de seguridad, losestándares y la interoperabilidad.
Portabilidad entre nubes públicas
Si bien cloud computing promete una arquitectura abierta yde fácil integración, las ofertas tempranas de nubes tienentendencia a crear “silos” de seguridad: los usuariosnecesitan una cuenta de Amazon para usar el servicio EC2 deAmazon y una cuenta de Google para acceder a lasaplicaciones de AppEngine. Las empresas requeriránportabilidad de información y de identidades entre lasdiferentes nubes, de modo que puedan combinar y ajustarsus servicios en un ambiente abierto basado en estándaresque permita la interoperabilidad.
La portabilidad se convertirá en un problema importante amedida que las infraestructuras de múltiples nubes ofrezcanservicios más complejos. Por ejemplo, imagine que deseaalquilar un gran volumen de potencia de CPU de Amazondurante algunos días para realizar un análisis profundo delos datos de sus clientes utilizando una herramientaanalítica personalizada, pero los datos están enSalesforce.com. Las nubes deberán comunicarse entre sí demanera segura.
Confidencialidad y privacidad
Las unidades de negocios ya están asignando tareas a losdepartamentos de TI que implican la protección de los datosen las nubes privadas y públicas, con la expectativa de quela información delicada pierda su estado delicado o seimplemente con autorización de acceso verificable paraproteger su privacidad y su confidencialidad. Lasorganizaciones de TI históricamente no han desarrollado lacapacidad para identificar y clasificar de con eficaciausuarios y datos delicados. Sin esta capacidad, enfrentarándificultades para extender las funcionalidades de seguridada los ambientes de nubes.
¿De qué manera su proveedor de nubes garantizará laconfidencialidad y la privacidad? Recientemente, unproveedor de telefonía celular se sintió avergonzado, porejemplo, cuando sus empleados vieron los registrostelefónicos antiguos de Barack Obama. ¿Cómo se puedenevitar estos incidentes? ¿De qué manera se protegerá contraamenazas internas, como un empleado del proveedor denubes que extrae información empresarial delicada? Losproveedores de nubes deberán enfrentar estaresponsabilidad fundamental.
Controles de acceso viables
Los requerimientos del buen manejo y control de lainformación deberán equilibrarse con el deseo de losusuarios de contar con un control de acceso eficiente ysólido al mismo tiempo. Los usuarios y las corporacionesesperarán que el acceso sea transparente y conveniente. Enel caso de muchas nubes, como las que ofrecen serviciospopulares al público general, es posible que los usuarios notoleren un enfoque basado en token.
Otro punto débil importante es la carencia de autorizacióndelegada. Mientras algunos servicios de nube ofrecen unaautenticación delegada sólida (por ejemplo, Salesforce.com)que permite el control de acceso basado en la identidad delusuario, pocos (si es que hay alguno), ofrecen autorizacióndelegada para permitir el control de acceso basado en elcontenido de la información en sí. Esta capacidad se estáconvirtiendo en un factor cada vez más importante debido ala incorporación de Web 2.0, donde los privilegiosdetallados para la administración y el control deautorizaciones serán sumamente esenciales.
Cumplimiento de normas
Muchas unidades de negocios están optando por el uso deservicios de nube en función del aspecto económicoatractivo y omiten los departamentos de TI para almacenarlas aplicaciones y los datos en la nube directamente. Estocrea varios problemas para las organizaciones de TI con unmenor control interno y externo. Las actividades de lasunidades de negocios multiplican los retos de cumplimientode normas del departamento de TI incluso cuando losdepartamentos legales y de cumplimiento de normas prevénque los departamentos de TI podrán informar y demostrar elcontrol sobre la información delicada. Además, cada Clienteempresarial debe evaluar atentamente el cumplimiento de lanorma SAS-70 de un proveedor de nubes para comprobar sila certificación cumple con la política de cumplimiento denormas establecida por su propia empresa.
4 White paper de RSA
La creación de informes será un requerimiento clave paracualquier ambiente de nube en el que haya información deidentificación personal (PII) y otros datos delicados oreglamentados. ¿Quién será responsable de garantizar elcumplimiento de normas? ¿Usted o su proveedor de nubes?¿Tendrá acceso a los datos de log del ambiente de nubeen el que se encuentra la información de su empresapara poder correlacionarlos con eventos en otrossistemas? ¿Qué sucede si alguien roba datos de susistema basado en nubes en un intento de forzarel acceso a los sistemas del data centeradministrado internamente de su empresa?
¿Cómo se correlacionan esos eventos? ¿Quién esresponsable si se viola alguna PII? ¿Sabrá cuál es laubicación física de su información? Estas preguntaspueden crear un problema relacionado con elcumplimiento de reglamentaciones internacionales.
Niveles de servicio de seguridad
Dado que todos los tipos de datos terminarán en las nubes,desde los datos de mayor valor a los datos masivos y nodelicados, habrá una necesidad cada vez mayor de contarcon distintos niveles de servicio de seguridad que secorrespondan con la confidencialidad de diferentes tipos dedatos. El reto real será el mapeo de niveles de seguridad aprocesos de información o de negocios, de modo quepuedan transferirse a la nube al menor costo posible, pero alnivel de seguridad más alto necesario.
IV. Principios para la protección de la nube:seguridad de la identidad, la informacióny la infraestructura
La cloud computing pública requiere un modelo deseguridad que reconcilie la escalabilidad y la tenenciamúltiple con la necesidad de confianza. A medida que lasempresas trasladan sus ambientes informáticos con lasidentidades, la información y la infraestructura a la nube,deben estar dispuestas a renunciar a cierto nivel de control.Para hacerlo, deben confiar en los sistemas y losproveedores de nubes, y verificar los procesos y los eventosde nubes. Entre los componentes básicos importantes de laconfianza y de las relaciones de verificación, se incluyen elcontrol de acceso, la seguridad de los datos, elcumplimiento de normas y la administración de eventos;todos ellos son elementos de seguridad bien comprendidospor los departamentos de TI actuales, implementados conproductos y tecnologías existentes, y extensibles a la nube.
Seguridad de la identidad
La administración de identidades end-to-end, los serviciosde autenticación de otros fabricantes y la identidad federadase convertirán en un elemento clave de la seguridad de lanube. La seguridad de la identidad preserva la integridad y laconfidencialidad de los datos y las aplicaciones, a la vez queofrece acceso de disponibilidad inmediata a los usuariosadecuados. El soporte para estas capacidades deadministración de identidades de usuarios y componentes
5White paper de RSA
Se requerirán distintosniveles de servicio deseguridad para que seajusten a la confidencialidadde diferentes tipos de datos.
Seguridad de la nubeSeguridad de la nube
Identidades InformaciónInfraestructura
Elementos principales para proteger la nube
de la infraestructura será un requerimiento importante paracloud computing, y la identidad deberá administrarse demanera que cree confianza. Se requerirá.
– Autenticación sólida: cloud computing debe ir másallá de la autenticación débil de nombres de usuario ycontraseñas si pretende brindar soporte a la empresa.Esto significa adoptar técnicas y tecnologías que yason estándar en el área de TI empresarial, como laautenticación sólida (autenticación de múltiplesfactores con tecnología de contraseña de un solo uso),la federación dentro de las empresas y entre estas, y laautenticación basada en riesgos que mide el historial decomportamiento, el contexto actual y otros factores quepermiten evaluar el nivel de riesgo de la solicitud de unusuario. Niveles adicionales de autenticación seránfundamentales para cumplir con los acuerdos de nivelde servicio de seguridad; y el uso de un modelo deautenticación basado en riesgos que sea transparenteen gran medida para los usuarios reducirá la necesidadde una federación más amplia de controles de acceso.
– Autorización más granular: la autorización puedeser general en una empresa o, incluso, en una nubeprivada. No obstante, para manejar datos delicados yrequerimientos de cumplimiento de normas, las nubespúblicas necesitarán capacidades de autorizacióngranular (como controles basados en funciones e IRM)que puedan ser persistentes en toda la infraestructurade nube y el ciclo de vida de los datos.
Seguridad de la información
En el data center tradicional, los controles sobre el accesofísico, el acceso a hardware y software, y los controles deidentidad se combinan para la protección de los datos. En lanube, esa barrera de protección que garantiza la seguridadde la infraestructura se disipa. Para compensar, la seguridaddeberá estar centrada en la información. Los datos necesitanque su propia seguridad se traslade con ellos y los proteja.Se requerirá.
– Aislamiento de datos: en situaciones de tenenciamúltiple, será necesario mantener los datos de manerasegura para protegerlos cuando varios clientes usenrecursos compartidos. La virtualización, la encriptacióny el control de acceso serán excelentes herramientasque permitirán distintos grados de separación entrelas corporaciones, las comunidades de interés y losusuarios. En el futuro cercano, el aislamiento de datosserá más importante y ejecutable para IAAS de lo quequizá será para PAAS y SAAS.
– Seguridad de datos más granular: a medida quela confidencialidad de la información aumenta, lagranularidad de la implementación de la clasificaciónde los datos debe aumentar. En los ambientes de datacenter actuales, la granularidad del control de accesobasado en funciones a nivel de grupos de usuarios ounidades de negocios es aceptable en la mayoría delos casos porque la información permanece dentro delcontrol de la empresa. Para la información en la nube,los datos delicados requerirán seguridad a nivel dearchivos, campos o incluso bloques para satisfacer lasdemandas de seguridad y cumplimiento de normas.
– Seguridad de datos coherente: habrá una necesidadevidente de contar con protección de contenido basadaen políticas para satisfacer las necesidades propias de laempresa y las directivas de políticas reglamentarias. Paraalgunas categorías de datos, la seguridad centrada en lainformación necesitará encriptación en transmisión y enreposo, además de administración en la nube y en todoel ciclo de vida de los datos.
6 White paper de RSA
Los datos delicados en la nuberequerirán seguridad granular,que debe mantenerse de maneraconsistente durante todo el ciclode vida de los datos.
– Clasificación eficaz de datos: cloud computing imponeun intercambio de recursos entre el alto rendimientoy los requerimientos de mayor seguridad sólida. Laclasificación de los datos es una herramienta fundamentalpara equilibrar esa ecuación. Las empresas necesitaránsaber qué datos son importantes y dónde están ubicadoscomo requerimiento previo para tomar decisionesrelacionadas con el costo/beneficio del rendimiento,además de garantizar el enfoque en las áreas máscríticas para los procedimientos de prevención depérdida de datos.
– Administración de derechos de información: se sueletratar a IRM como un componente de identidad, unaforma de establecer controles generales sobre quéusuarios tienen acceso a los datos. No obstante, laseguridad centrada en los datos más granular requiereque las políticas y los mecanismos de control sobre elalmacenamiento y el uso de información estén asociadosdirectamente con la información en sí.
– Buen manejo y control y cumplimiento de normas:un requerimiento clave del buen manejo y control y elcumplimiento de normas de la información corporativaes la creación de información de administración yvalidación; se realiza el monitoreo y la auditoría delestado de seguridad de la información con capacidadesde registro. Aquí, no solo es importante documentarel acceso y la denegación de acceso a los datos,sino también garantizar que los sistemas de TI esténconfigurados para cumplir con las especificaciones deseguridad y no se hayan alterado. La expansión de laspolíticas de retención para el cumplimiento de normasy políticas de datos también se convertirá en unacapacidad esencial de la nube. Básicamente, lasinfraestructuras de cloud computing deben tener lacapacidad de verificar que se administren los datossegún las reglamentaciones locales e internacionalescorrespondientes (como PCI y HIPAA) con controlesadecuados, recopilación de logs y creación de informes.
Los datos delicados en la nube requerirán seguridadgranular, que debe mantenerse de manera consistentedurante todo el ciclo de vida de los datos.
Seguridad de la infraestructura
La infraestructura base para una nube debe serinherentemente segura, ya sea una nube privada o pública,o un servicio SAAS, PAAS o IAAS. Se requerirá.
– Seguridad inherente de componentes: la nube debeestar diseñada para ser segura, creada con componentesinherentemente seguros, implementada y aprovisionadade manera segura con interfaces sólidas a otroscomponentes y, finalmente, soportada de manerasegura con procesos de evaluación de vulnerabilidadesy administración de cambios que producen informaciónde administración y seguridades de nivel de servicio quecrean confianza. Para estos componentes implementadosde manera flexible, la identificación mediante la huelladigital del dispositivo para garantizar la seguridad de laconfiguración y el estado también será un elemento deseguridad importante, al igual que lo es para los datosy las identidades en sí.
– Seguridad de interfaz más granular: los puntos enel sistema en los que se presentan intervenciones(usuario a red, servidor a aplicación) requieren políticasy controles de seguridad granulares que garanticenconsistencia y responsabilidad. Aquí, el sistema end-to-end debe ser patentado, un estándar de facto o unafederación de proveedores que ofrezca políticas deseguridad implementadas de manera consistente.
– Administración del ciclo de vida de los recursos: el aspectoeconómico de cloud computing está basado en la tenenciamúltiple y en el uso compartido de recursos. A medida quelas necesidades y los requerimientos de un Cliente semodifican, un proveedor de servicios debe ofrecer ydesactivar esos recursos (ancho de banda, servidores,almacenamiento y seguridad) según corresponda. Esteproceso del ciclo de vida debe administrarse en relacióncon la responsabilidad para crear confianza.
7White paper de RSA
La infraestructura base para unanube debe ser inherentementesegura, ya sea una nube privadao pública, o un servicio SAAS,PAAS o IAAS.
8 White paper de RSA
V. Conclusión
Cloud computing promete modificar la economía del datacenter; pero, antes de trasladar los datos delicados yreglamentados a la nube pública, se deben enfrentar losproblemas de estándares de seguridad y compatibilidad,entre ellos, la autenticación sólida, la autorización delegada,la administración de claves para datos encriptados, laprotección contra la pérdida de datos y la creación deinformes reglamentarios. Todos estos elementos formanparte de un modelo de identidad, información einfraestructura seguro, y pueden aplicarse a nubes privadasy públicas, además de a servicios IAAS, PAAS y SAAS.
En el desarrollo de nubes públicas y privadas, las empresasy los proveedores de servicios deberán usar estos principiosque sirven como guía para adoptar y ampliar de maneraselectiva las herramientas de seguridad y garantizar laseguridad de los productos a fin de crear y ofrecer cloudcomputing y servicios confiables end-to-end. Por suerte,muchas de estas soluciones de seguridad estánampliamente disponibles hoy en día y se estándesarrollando en detalle para llevar a cabo funcionalidadesde nube cada vez más transparentes.
Identidades InformaciónInfraestructura
Creación de una nube confiable
IAAS PAAS SAAS
Empleados TI empresarial Proveedores Proveedoresde servicios Clientes
9White paper de RSA
Seguridad de identidades,información e infraestructuras
Para administrar las identidades en la nube, RSAaprovecha sus capacidades de autenticación sólida, laautenticación de múltiples factores, las contraseñas deun solo uso, la administración de identidades federaday las soluciones de autenticación basada en riesgos,como Authentication Manager, Federated IdentityManager, Access Manager y Adaptive Authentication. Elsistema Transaction Monitoring de RSA trasciende laprotección de la identidad de los usuarios que seregistran mediante la autenticación de lastransacciones que ejecutan para incrementar laseguridad en línea, reducir el fraude y moderar losriesgos de amenazas avanzadas. Este proceso serealiza, en gran medida, en función del servicio RSAeFraudNetwork™, una red interoganizacional decolaboración para combatir fraudes en línea dedicada acompartir y difundir información sobre actividadesfraudulentas. Para administrar la autorización quetoma en cuenta el contexto con privilegios detallados yla administración de autorizaciones basada en laadministración central e inteligente de políticas, RSA®
Entitlements Policy Manager protege los recursos aúnmás allá de las aplicaciones web.
Para obtener información sobre la seguridad en la nube,EMC Information Rights Manager ofrece autorización quetoma en cuenta el contenido para documentos, mientrasque RSA® Data Loss Prevention Suite ofrece detecciónque toma en cuenta el contenido, clasificación ysoluciones de prevención de pérdida de datos. Juntos,estos productos brindan a las nubes públicas y privadasla posibilidad de implementar políticas de seguridadcoherentes que toman en cuenta el contenido para elbuen manejo y control de los datos, el control y elcumplimiento de normas. Además, RSA® Key Managercuenta con capacidades de encriptación en la nube parala protección y el control de datos.
Finalmente, para la seguridad de la infraestructura, elamplio portafolio de productos de EMC no solo ofrecebases seguras para la virtualización, la separación dedatos y las capacidades de protección y disponibilidadde datos, sino que, además, los productos de EMC secrean, se implementan y se soportan de manera segurapara ofrecer mayor seguridad a las infraestructuras denube. Los productos de administración de recursos deinfraestructura de EMC combinados con el producto deanálisis y administración de logs RSA enVision® permitenla administración y el control eficaces de loscomponentes de la infraestructura mediante laevaluación del estado, la administración de laconfiguración, y las funcionalidades de administración ycontrol de eventos. Todos estos elementos sonimportantes para optimizar las operaciones de la nube ycumplir los requerimientos del cumplimiento de normas.
EMC y RSA están trabajando cada vez más a fin dedesarrollar soluciones para la seguridad de nubesque estén diseñadas desde una perspectiva dearquitectura orientada a servicios, de modo quesoporten los niveles de seguridad flexibles que losmodelos de nubes emergentes requieren.
PaaS, IaaS y Saas seguros
EMC y RSA también ofrecen productos y servicios almercado de cloud computing. Los siguientes sonalgunos ejemplos:
El modelo Seguridad como un servicio (SaaS) de RSApara federar los controles de seguridad en ambientesSaaS y PaaS con servicios de control de acceso yautenticación que han estado disponibles desde 2002.
RSA® Key Manager puede encargarse de laadministración de los controles de seguridad de datos(claves de encriptación) de los administradores deSaaS/PaaS y mantener el control con los propietariosde datos o las corporaciones de clientes.
Atmos de EMC es un proveedor de Almacenamientocomo un servicio para el modelo IaaS con políticassobre el rendimiento y la seguridad de la distribucióndel almacenamiento de información.
EMC, RSA y cloud computing segura
10 White paper de RSA
RSA, enVision, eFraudNetwork y RSA Security son marcas registradas o marcascomerciales de RSA Security Inc. en los Estados Unidos y en otros países. EMC,Mozy y Atmos son marcas registradas o marcas comerciales de EMC Corporation.Todos los otros productos o servicios mencionados son marcas comerciales de susrespectivos dueños. ©2009 RSA Security Inc. Todos los derechos reservados.
CLOUD WP 0209
Autor y colaboradores
Satchit Dokras, Bret Hartman, Tim Mathers, Brian Fitzgerald,Sam Curry, Magnus Nystrom, Eric Baize, Nirav Mehta
Acerca de RSA
RSA, la División de Seguridad de EMC, cuenta con expertosen seguridad centrada en la información, lo que permiteproteger la información durante todo su ciclo de vida. RSApermite a los clientes asegurar de manera rentable losrecursos de información importantes y las identidades enlínea (en el lugar y en la etapa en que se encuentren), yadministrar la información y los eventos de seguridad paraaliviar la carga que impone el cumplimiento de normas.
RSA ofrece soluciones líderes en la industria de verificaciónde identidad y control de acceso, encriptación yadministración de claves, administración del cumplimientode normas y la información de seguridad, y protección contrafraudes. Estas soluciones brindan confianza respecto amillones de identidades de usuarios, a las transacciones queejecutan y a los datos que se generan. Para obtener másinformación, consulte www.EMC.com (visite el sitio web desu país correspondiente) y latinamerica.rsa.com.