QUE ES EL CLOUD COMPUTING Versión 1.
0
Recomendaciones para usuarios ICIC
¿QUÉ ES EL CLOUD COMPUTING?
Recomendaciones para Usuarios
Versión 1.0
Página 1 de 5
�QUE ES EL CLOUD COMPUTING Versión 1.0
Recomendaciones para usuarios ICIC
¿QUÉ ES EL CLOUD COMPUTING?
Recomendaciones para Usuarios
El Cloud Computing, también conocido como “Nube”, ha sido definido por el NIST
(National Institute of Standards and Technology) como un modelo de servicios escalables
bajo demanda para la asignación y el consumo de recursos de cómputo. Describe el uso
de infraestructura, aplicaciones, información y una serie de servicios compuestos por
reservas de recursos de computación, redes, información y almacenamiento. Estos
componentes pueden orquestarse, abastecerse, implementarse y liberarse rápidamente,
con un mínimo esfuerzo de gestión e interacción por parte del proveedor de Cloud
Computing y de acuerdo a las necesidades actuales del cliente.
Figura 1 – Representación de la definición de Cloud Computing del NIST.
Modelos de Servicios
La prestación de servicios de cloud computing puede asociarse a tres modelos específicos:
Modelo Descripción
Ofrece al consumidor la provisión de procesamiento, almacenamiento, redes y
Infrastructure cualquier otro recurso de cómputo necesario para poder instalar software,
as a Service incluyendo el sistema operativo y aplicaciones. El usuario no tiene control
(IaaS) sobre el sistema de nube subyacente pero si del Sistema operativo y
aplicaciones. Ejemplo: Amazon Web Services EC2.
Ofrece al consumidor la capacidad de ejecutar aplicaciones por éste
Platform as
desarrolladas o contratadas a terceros, a partir de los lenguajes de
a Service
programación o interfaces provistas por el proveedor. El usuario no tiene
(PaaS)
control ni sobre el sistema subyacente ni sobre los recursos de Infraestructura
Página 2 de 5
�QUE ES EL CLOUD COMPUTING Versión 1.0
Recomendaciones para usuarios ICIC
de nube. Ejemplo: Microsoft Azure.
Ofrece al consumidor la capacidad de utilizar las aplicaciones del proveedor
Software as que se ejecutan sobre la infraestructura en la nube. Las aplicaciones son
a Service accedidas desde los dispositivos cliente a través de interfaces, por ejemplo un
(SaaS) navegador web. En este caso, el usuario solo tiene acceso a una interfaz de
configuración del software provisto. Ejemplo: SalesForce
Tabla 1 – Modelos de provisión de servicios de Cloud Computing.
Modelos de Implementación
Dependiendo de cómo se despliegan los servicios en la nube, existen cuatro modelos que
caracterizan la implementación de los servicios de Cloud Computing.
Modelo Descripción
Es aquel modelo de Nube en el cual la infraestructura y los recursos lógicos
que forman parte del entorno se encuentran disponibles para el público en
Nube
general o un amplio grupo de usuarios. Suele ser propiedad de un
Pública
proveedor que gestiona la infraestructura y los servicios ofrecidos.
Ejemplo: Servicio de GoogleApps.
Es aquel modelo en el cual la infraestructura se gestiona únicamente por
una organización. La administración de aplicaciones y servicios puede estar
a cargo de la misma organización o de un tercero. La infraestructura
Nube
asociada puede estar dentro de la organización o fuera de ella.
Privada
Ejemplo: Cualquier servicio de nube propio de la organización o contratado
a un proveedor pero cuyos recursos sean exclusivos para dicha
organización.
Es aquel modelo donde la infraestructura es compartida por diversas
organizaciones y su principal objetivo es soportar a una comunidad
específica que posea un conjunto de preocupaciones similares (misión,
requisitos de seguridad o de cumplimiento normativo, etc.). Al igual que la
Nube
Nube Privada, puede ser gestionada por las organizaciones o bien por un
Comunitaria
tercero y la infraestructura puede estar en las instalaciones propias o fuera
de ellas.
Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual
provee servicios de cloud computing a las dependencias gubernamentales.
Es aquel modelo donde se combinan dos o más tipos de Nubes (Pública,
Privada o Comunitaria) que se mantienen como entidades separadas pero
Nube
que están unidas por tecnologías estandarizadas o propietarias, que
Híbrida
permiten la portabilidad de datos y aplicaciones.
Ejemplo:
Tabla 2 – Modelos de implementación de Cloud Computing.
Recomendaciones a los Usuarios para la adopción del Cloud Computing
Página 3 de 5
�QUE ES EL CLOUD COMPUTING Versión 1.0
Recomendaciones para usuarios ICIC
A continuación compartimos una serie de recomendaciones que sería importante que se
tengan en cuenta al momento de evaluar una solución de servicio basado en Cloud
Computing:
Tener en cuenta el valor de la información que estaremos utilizando en el servicio
de Cloud Computing y verificar que el servicio cumpla los requisitos que
necesitamos.
Leer detenidamente los Términos y Condiciones o el Service Level Agreement (SLA)
y evaluar si corresponden con las condiciones que estamos dispuestos a aceptar.
Mantener los controles de seguridad propios aunque se seleccione un servicio de
Cloud Computing. Por ej: Respaldo de la Información.
Tener en cuenta las aplicaciones que utilizamos para el servicio de Cloud
Computing y los accesos asignados, revisando periódicamente los mismos para
verificar que sigan siendo necesarios. Por ej: aplicaciones con acceso a perfiles de
redes sociales.
Tener en cuenta los requisitos legales que debemos cumplir al momento de enviar
información a una solución de Cloud Computing: Por ej: Derechos de Autor,
Acuerdos de Confidencialidad, Privacidad, etc.
Analizar los términos y condiciones, ofreciendo propuestas sobre aquellos puntos
en los que no haya acuerdo. Si los términos y condiciones no cubren los requisitos,
no se deberían aceptar, aunque ello signifique no utilizar el servicio.
Verificar que existan cláusulas al momento de finalizar el servicio, relacionadas con
la seguridad de la información involucrada y los requisitos establecidos para su
disposición. Por ej: borrado seguro, devolución, etc.
Una buena herramienta para ayudar selección de un proveedor de Cloud
Computing es el Consensus Assessments Initiative (CAI) de la Cloud Security
Alliance (CSA). Consiste en un cuestionario que, a través de las distintas
respuestas, permite identificar la gestión de la seguridad por parte del proveedor
de Servicios de Cloud.
Verificar si el proveedor de Cloud Computing se encuentra registrado en el
proyecto Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en
el mismo se pueden conocer distintos aspectos de seguridad implementados en el
servicio de Cloud Computing.
Tener en cuenta que aunque se seleccione un determinado proveedor de Cloud
Computing, seguimos siendo los responsables por el cuidado de la información.
Estar al tanto de los incidentes de seguridad que se presenten e involucren al
proveedor de Cloud Computing seleccionado.
Página 4 de 5
�QUE ES EL CLOUD COMPUTING Versión 1.0
Recomendaciones para usuarios ICIC
“UTILIZA LAS NUEVAS TECNOLOGIAS, CONOCE SUS RIESGOS”
Informe realizado por Mariano M. del Río (@mmdelrio)
Information Security Consultant en SIClabs (@siclabs)
Board Member del Capítulo Argentino de la Cloud Security Alliance (@cloudsa_arg)
Revisión realizada por el Grupo de Expertos en Seguridad Informatica y Legislación
Informatica del Programa Nacional de Infraestructuras Criticas de Información y
Ciberseguridad – ICIC (www.icic.gov.ar)
Referencias
Cloud Security Alliance:
http://www.cloudsecurityalliance.org
Cloud Security Alliance Chapter Argentina
http://chapters.cloudsecurityalliance.org/argentina/
NIST SP800-145: The NIST Definition of Cloud Computing
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
Infografía sobre Modelos de Implementación de Cloud Computing:
http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-full.html
Guía para la Seguridad en Áreas Críticas de atención en Cloud Computing (CSG):
https://cloudsecurityalliance.org/research/security-guidance/
Cloud Assessment Initiative (CAI):
https://cloudsecurityalliance.org/research/cai/
Security, Trust & Assurance (STAR):
https://cloudsecurityalliance.org/research/initiatives/star-registry/
Riesgos y Amenazas del Cloud Computing:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en
_cloud_computing.pdf
Página 5 de 5
