Scribd Logo
Hochladen

Willkommen bei Scribd!

  • CIGRAS 2015.09.09 02 Seguridad en La Nube Mauro Flores

    Hochgeladen von

    miguelgarcia000
    8 Ansichten13 Seiten
    Seguridad en la Nube - Mauro Flores - Cigras 2015

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    Seguridad en la Nube - Mauro Flores - Cigras 2015

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    8 Ansichten13 Seiten

    CIGRAS 2015.09.09 02 Seguridad en La Nube Mauro Flores

    Hochgeladen von

    miguelgarcia000
    Seguridad en la Nube - Mauro Flores - Cigras 2015

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 13

    Seguridad en la Nube

    Protegiendo nuestros
    Datos

    Mauro Flores
    mauflores@deloitte.com

    @mauro_fcib
    @DeloitteUySeg
    OWASP Top 10 Risks
    R10 - Non
    Production
    R4 - Business Environment
    Continuity and Exposure
    R1 - Accountability Resiliency
    R7 - Multi Tenancy
    and Data and Physical
    Ownership Security
    R5 - User Privacy
    and Secondary
    R2 - User Identity Usage of Data
    R8 - Incidence
    Federation Analysis and
    Forensic Support
    R6 - Service and
    Data Integration
    R3 Regulatory
    R9 - Infrastructure
    Compliance
    Security

    https://www.owasp.org/index.php/Category:OWASP_Cloud__10_Project

    2 2015 Deloitte S.C. Todos los derechos reservados


    R1/R5 Data Ownership, Privacy and Secondary Usage
    De quien es la informacin?

    Dependemos 100% del proveedor

    Puedo garantizar que el proveedor:

    No los utiliza para otros fines (estadsticos, etc)

    No se los vende a la competencia

    El nico resguardo, un contrato es suficiente?

    3 2015 Deloitte S.C. Todos los derechos reservados


    R1/R5 Data Ownership, Privacy and Secondary Usage
    De quien es la informacin?

    Es una locura tener toda la


    Igual, deberamos cifrar
    informacin en plano en la
    todo para estar seguro.
    nube!!
    Muy lindo, pero si el
    proveedor accede a tus
    datos ni te enteras!

    Imposible!! El proveedor
    nunca lo va a haceradems,
    para que le sirve?

    Mauro, no jodas si fuera


    Sos paranoico!! Tenemos un
    por vos viviramos todos
    contrato que lo impide
    adentro de
    4
    una caja fuerte! 2015 Deloitte S.C. Todos los derechos reservados
    R1/R5 Data Ownership, Privacy and Secondary Usage
    La nube despus de PRISM

    Desconfianza en la nube (especialmente con base en U.S.)

    10% de cancelacin de contratos

    56% no contratara servicios en la nube en U.S.

    Mayores exigencias de cumplimiento de Habeas Data y Puerto


    Seguro

    Estrategias de nubes hibridas

    http://www2.itif.org/2013-cloud-computing-costs.pdf
    https://spideroak.com/privacypost/online-privacy/will-prism-destroy-the-u-s-cloud/
    5 2015 Deloitte S.C. Todos los derechos reservados
    R1/R5 Data Ownership, Privacy and Secondary Usage

    https://cloudsecurityalliance.org/download/cloud-adoption-practices-priorities-survey-report/
    6 2015 Deloitte S.C. Todos los derechos reservados
    R1/R5 Data Ownership, Privacy and Secondary Usage
    La nube despus de PRISM

    Solo los contratos no son suficientes

    Necesitamos incluir tecnologa que garantice la privacidad y


    hacerlo bien!

    Debemos establecer una cadena de confianza que nazca fuera de la


    nube...

    7 2015 Deloitte S.C. Todos los derechos reservados


    Protegiendo el almacenamiento
    Iniciando la cadena de confianza fuera de la nube

    Ej: DropBox, GoogleDrive, etc.

    Sincronizan una carpeta local con la nube

    Utilizar esquemas de cifrado de archivos de la carpeta local

    Debemos utilizar una herramienta que NO utilice contenedores


    (facilita la sincronizacin)

    8 2015 Deloitte S.C. Todos los derechos reservados


    Protegiendo el almacenamiento
    Iniciando la cadena de confianza fuera de la nube

    Herramientas: EncFs, eCryptFS


    Ejemplo:
    #### Creo el FS cifrado (EncFS)
    mkdir ~/Dropbox/.encrypted
    encfs ~/Dropbox/.encrypted ~/DropBox_Private
    ### Demosnto el FS
    fusermount -u ~/DropBox_Private

    Trabajo sobre ~/DropBox_Private

    9 2015 Deloitte S.C. Todos los derechos reservados


    Protegiendo las aplicaciones
    Iniciando la cadena de confianza fuera de la nube

    SSLv3

    SSLv3

    10 2015 Deloitte S.C. Todos los derechos reservados


    Protegiendo las aplicaciones
    Iniciando la cadena de confianza fuera de la nube

    Primitivas que almacenan la informacin segura en memoria:

    Java: SecureString()
    https://github.com/c-a-
    m/passfault/blob/master/core/src/main/java/org/owasp/passfault/SecureString.java

    .Net: SecureString()
    http://msdn.microsoft.com/en-us/library/system.security.securestring%28v=vs.110%29.aspx

    11 2015 Deloitte S.C. Todos los derechos reservados


    Recomendaciones
    Disear las aplicaciones para la nube

    Cifrar la informacin con algoritmos robustos

    No persistir en la nube las claves de cifrado

    Proteger las claves en memoria


    No usar strings fcilmente reconocibles
    Ofuscar o fragmentar la clave en memoria

    Utilizar mltiples claves de cifrado


    Diferentes claves para diferentes grupos de datos

    12 2015 Deloitte S.C. Todos los derechos reservados

    Das könnte Ihnen auch gefallen