Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Diego Borengiu - Gonzalo Meana - Juan José Meza Página 1 de 23 Universidad de Buenos Aires Facultad de Ciencias Económicas Departamento de Sistemas Auditoría y Seguridad de los Sistemas de Información 1659-02 Monografía ¿Cómo se garantiza la seguridad de la información del metadato para los almacenamientos en el cloud computing? Equipo 1 - GDJ Consultoría en Seguridad Informática Integrantes: - Borengiu, Diego Ezequiel (890.063) - Meana, Gonzalo Sebastián (877.387) - Meza, Juan José (877.340) Cátedra: Morteo, Francisco Profesores: Juárez, María Silvia Muriño, Jorge Cuatrimestre: 2º cuatrimestre 2022 Mes y Año: Noviembre del 2022 Diego Borengiu - Gonzalo Meana - Juan José Meza Página 2 de 23 - Resumen. El objetivo de esta monografía consta de poder dar luz al concepto de metadato, cómo es su funcionamiento en los sistemas y cómo se relaciona con los métodos de seguridad existentes. Para eso, nos nutrimos de materiales académicos y de grandes empresas tecnológicas del sector IT que proveen estos servicios para describir acerca de este tema. Se utilizó una metodología de investigación cualitativa, ya que los parámetros de la temática a investigar no son medibles, y debemos enfocarnos en obtener información de experiencias y percepciones de los autores y empresas que están relacionadas con el trabajo investigativo. La síntesis de la propuesta determina que no está garantizado completamente la seguridad de los metadatos en el cloud computing, las empresas aún no toman real relevancia de lo importante que es para los usuarios, aunque el nivel de proactividad para mejorarlo depende de cada empresa y su estrategia para optimizarlo. Palabras claves: Cloud, Metadatos, Seguridad de la información, Resguardo de información. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 3 de 23 - Índice. Introducción Pág. a) Fundamentación y planteamiento del problema……………………………….. 4 a.1)¿Cuál es el tema sobre el que van a trabajar? a.2)¿Cuál es el problema? a.3)¿Por qué es importante trabajar este tema? b) Definición de Objetivos. ………………………………………………………..4 b.1) Objetivo General. b.2)Objetivos Específicos. Desarrollo ……………………………………………………………………………5 Marco teórico Propuesta ……………….……………….……………….……………….…………19 Conclusiones ……………….……………….……………….………………………21 Referencias bibliográficas ……………….……………….………………………… 22 Diego Borengiu - Gonzalo Meana - Juan José Meza Página 4 de 23 - Introducción. a) Fundamentación y planteamiento del problema: a.1)¿Cuál es el tema sobre el que van a trabajar? La computación en la nube ha cambiado la forma en que se almacenan y se accede a los datos. Con un sistema de administración de metadatos basado en la nube, se puede mantener la integridad de los mismos metadatos en una ubicación segura y centralizada. Esta monografía va a hacer enfoque en demostrar cómo mantener la integridad de los metadatos con un sistema de gestión basado en Cloud Computing. a.2)¿Cuál es el problema? La integridad de los metadatos es un problema para la computación en la nube, ya que es necesaria para garantizar que se pueda acceder, procesar y compartir los datos. Cuando la integridad de los metadatos se ve comprometida, puede tener consecuencias graves, como la fuga de datos y la pérdida de información. El riesgo de no poder controlar la integridad de los metadatos en la nube puede tener muchas consecuencias para la organización. Esto desemboca en errores en el sistema, cuando los usuarios cometen errores o casos de piratas informáticos, que a través de diversos mecanismos roban o corrompen datos. a.3)¿Por qué es importante trabajar este tema? Es importante investigar sobre este tema toda vez que cada vez son de mayor uso ambas herramientas en las organizaciones y en consecuencia es fundamental saber y bregar por la seguridad de la información bajo dichas circunstancias. b) Definición de Objetivos. b.1) Objetivo General. Los objetivos generales de la monografía son: 1) Analizar los procesos de seguridad que contienen los metadatos en las plataformas en la nube, y; 2) Conocer el “estado del arte” en la Argentina. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 5 de 23 El objetivo general de la monografía es analizar cómo se garantiza la seguridad de la información del metadato para los almacenamientos en el cloud computing, para lo cual resulta indispensable comprender los distintos conceptos que dicho objetivo implica; Será entonces relevante comprender que es el metadato y que conceptos lo componen, cómo se garantiza su seguridad en cualquier tipo de entorno, para luego sí poder analizar a este concepto dentro del cloud computing. Será importante también poder comprender qué implica el cloud computing y cómo las distintas empresas proveedoras de este servicio gestionan su seguridad. b.2)Objetivos Específicos. Los objetivos específicos constan de detallar los conceptos de: Metadato junto a sus funciones y aplicaciones principales; Sistemas de gestión bibliotecarios; Cloud Computing, estado del arte de esta tecnología y los riesgos que implica; Miradas de diferentes autores y proveedores de tal servicio sobre esta temática; c)Metodología para el relevamiento de la información. La técnica de recolección de información está compuesta de libros, artículos de estudios, tesis, monografías del tema, programa de la materia, etc. No está prevista la inclusión de entrevistas para el presente trabajo. - Desarrollo. ● Marco teórico. ¿Qué son y para qué sirven los metadatos? La definición más habitual que se puede encontrar respecto a qué son los metadatos es que Diego Borengiu - Gonzalo Meana - Juan José Meza Página 6 de 23 son «datos sobre datos». Es decir, un metadato es la mínima información indispensable para identificar un recurso, como puede ser un archivo en una computadora, una información extra sobre un tipo de dato, como por ejemplo el autor, la extensión o su formato. (…) De hecho, si atendemos a su etimología, literalmente significa «más allá de los datos» en referencia a esos datos que describen. Los metadatos son muy importantes en el entorno digital (aunque no solo los encontramos en él), pues ayudan a mejorar la estructuración de la información, puesto que describen y catalogan esta, además de mejorar su recuperación, ya que nos sirven para identificar la relevancia de aquello que estamos buscando. Toda información, sea cual sea su soporte, contiene metadatos, por ejemplo, para un libro serían el nombre del autor, la fecha de publicación, la editorial o la cantidad de páginas. Funciones y aplicaciones principales de un metadato Los metadatos tienen como característica principal que son multifuncionales. Es una herramienta que tiene múltiples ventajas que posibilitan una buena administración de los datos cuando se llevan a cabo los procesos de gestión y gobierno de la información contenida. Así, vamos a detallar todas las funciones que tienen los metadatos: ● Facilitan la búsqueda y el análisis: los metadatos ayudan a buscar los datos más fácilmente y permiten realizar el análisis de los datos desde la propia fuente, favoreciendo la auto documentación, la transformación y el reporting, entre otras funciones. ● Mejora la gobernanza de los datos: gestionar los metadatos en un entorno estandarizado hace posible la buena gobernanza de los datos y esto, a su vez, hace que el programa sea exitoso. ● Ayuda a la integración: empleando los metadatos para el uso conjunto entre usuarios de TI y de empresas, se permiteque haya una mejor integración completa. De esta manera también ayuda a mejorar la gestión de los datos de manera más global. ● Facilita la estandarización: esto es posible gracias a la eliminación de errores y debilidades. Así, mejora la calidad de los metadatos en el transcurso de su ciclo de vida. Además, a través de la gestión de estos, se consigue tener una visión más completa de dicho ciclo, de principio a fin. ● Mejora los informes: la correcta gestión de los metadatos hará que los informes sean mejores, permitiendo entregarlos de manera segura y fiable. Esto se debe a la facilidad de intervención que hace que los procesos sean de mayor calidad. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 7 de 23 ● Realiza desarrollos más rápidos: acceder a los metadatos de manera inteligente incrementa la producción de los creadores y minimiza el período de abastecimiento de la conectividad. Esto hace que se rebajen los costes de las modificaciones que se produzcan. ● Gestiona los cambios: gracias a la gestión de los metadatos se ofrece una visión mejorada, así como el control que se requiere para la integración de los datos empresariales. Los cambios se observarán por medio de la automatización de los estudios de impacto, por lo que se podrá actuar para resolver los problemas que puedan surgir debido a ello. ● Mayor seguridad: en el supuesto de que se produzcan cambios, se deberán proteger los datos críticos de la empresa, así como ayudar a que se cumpla estrictamente la normativa en cuestión. Esto puede hacerse como consecuencia de la apropiada gestión de los metadatos. ¿Qué informaciones pueden mostrar los metadatos? Así, encontramos diferentes modelos de metadatos, cada uno con un esquema de descripción propio. En estos modelos, cada dato se describe a través de una serie de atributos, cuyo valor es el que se puede utilizar para recuperar la información. En función de la clase de metadatos podemos obtener información sobre elementos de datos o atributos, información sobre la propia estructura de los datos o sobre un aspecto concreto de los mismos, etc. Entre los diferentes tipos de información que ofrecen los metadatos podemos encontrar: ● Información del contenido. ● Información sobre aspectos formales (tamaño, fecha, tipo, idioma, etc.). ● Información de derechos de autor o copyright. ● Información de la autenticidad del documento o recurso. ● Información sobre el contexto (calidad, condiciones de acceso, uso, etc.). Ejemplos de metadatos Metadatos para seguimiento: Los minoristas y los sitios de compras en línea utilizan metadatos para rastrear los hábitos y movimientos de los consumidores. Los especialistas en marketing digital siguen cada uno de tus clics y compras, almacenando información sobre ti, como el tipo de dispositivo que usas, tu ubicación, la hora del día y cualquier otro dato que puedan recopilar legalmente. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 8 de 23 Con estos metadatos crean una imagen de tu rutina e interacciones diarias, tus preferencias, tus asociaciones y tus hábitos, y pueden usar esa imagen para comercializar sus productos. Los proveedores de servicios de Internet, los gobiernos y cualquier otra persona con acceso a grandes colecciones de información de metadatos podrían utilizar los metadatos de páginas web, correos electrónicos y otros lugares donde hay usuarios en línea para monitorizar la actividad web. Dado que los metadatos son una breve representación de los datos más grandes, esta información se puede buscar y filtrar para encontrar información sobre millones de usuarios a la vez y rastrear cosas como incitación al odio, amenazas, etc. Se sabe que algunos gobiernos recopilan estos datos , incluidos no solo el tráfico web, sino también las llamadas telefónicas, la información de ubicación y más. Metadatos en archivos de computadora: Cada archivo que guardas en tu computadora incluye información básica sobre el archivo para que el sistema operativo entienda cómo manejarlo, y para que uno u otra persona pueda recopilar rápidamente de los metadatos cuál es el archivo. Por ejemplo, en Windows, cuando ve las propiedades de un archivo, puede ver claramente el nombre del archivo, el tipo de archivo, dónde está almacenado, cuándo fue creado y modificado por última vez, cuánto espacio ocupa en el disco duro, quién es el propietario del archivo y más. La información puede ser utilizada por el sistema operativo así como por otros programas. Por ejemplo, puedes usar una utilidad de búsqueda de archivos para encontrar rápidamente todos los archivos en tu computadora que se crearon en algún momento de hoy y que pesen más de 3 MB. Metadatos en las redes sociales: Cada vez que haces amigo de alguien en Facebook, escuchas la música que Spotify recomienda para ti, públicas un estado o compartes el tweet de alguien, los metadatos funcionan en segundo plano. Los metadatos online son útiles en situaciones de redes sociales muy específicas, como cuando estás buscando a alguien en Facebook. Puedes ver una imagen de perfil y una breve descripción del usuario de Facebook para aprender solo los conceptos básicos sobre él antes de decidirte a hacerte amigo o enviarle un mensaje. [1] Sistemas de gestión Bibliotecarios La escena está dominada por los sistemas integrados de biblioteca (ILS). Este modelo de automatización de bibliotecas, basado en módulos de catalogación, circulación, adquisiciones, gestión de publicaciones Diego Borengiu - Gonzalo Meana - Juan José Meza Página 9 de 23 seriadas y catálogo online se estableció a principios de la década de 1970 cuando las bibliotecas tenían principalmente materiales impresos, y ha evolucionado muy poco desde entonces. Los ILS acostumbran a funcionar de manera autónoma, comunicándose con sistemas externos fundamentalmente a través de protocolos específicos (...) El modelo tradicional de ILS no es muy adecuado para la gestión de recursos electrónicos y ello ha llevado a la proliferación de productos complementarios para abordar este aspecto cada vez más estratégico para el funcionamiento de las bibliotecas. Hoy en día, las universitarias, además de su ILS implementan habitualmente servicios basados en Open URL para la resolución de enlaces, sistemas especializados de gestión de recursos electrónicos, interfaces de descubrimiento, plataformas de gestión de activos digitales (digital asset management), repositorios institucionales, servidores proxy y otros componentes que abordan un aspecto u otro de las operaciones digitales. Cada una de estas aplicaciones suele requerir la implementación de procesos de gestión y plataformas de hardware separadas, de lo cual resulta un entorno muy complejo de gestión, que supera la capacidad de muchas bibliotecas. Estos sistemas a menudo no logran interactuar entre sí con efectividad, debido a que usan modelos de datos aislados y a la falta de APIs robustas. Después de dos o tres años de investigación y desarrollo, en 2011-12 se está lanzando un nuevo tipo de productos que pueden llamarse plataformas de servicios bibliotecarios, con el objetivo de adoptar un enfoque mucho más amplio para la gestión de contenidos. Aunque cada una aporta sus propias características de diseño y funciones distintivas, el objetivo común de estas plataformas es gestionar todo tipo de recursos, ofreciendo flujos de trabajo especializados en función de si el elemento es o no digital, local o remoto, comprado o licenciado. En su mayoría incorporan modelos de datos estándar, siguiendo un enfoque de ciclo de vida de metadatos que favorece el procesamiento de lotes o flujos de metadatos de fuentes externas, enriqueciendo los registros tanto como sea posible mediante procesos automatizados y manuales. [3] ¿Qué es el almacenamiento de archivos en la nube?El almacenamiento de archivos en la nube es un método para almacenar datos en la nube que suministra a servidores y aplicaciones acceso a los datos mediante sistemas de archivos compartidos. Esta Diego Borengiu - Gonzalo Meana - Juan José Meza Página 10 de 23 compatibilidad hace que el almacenamiento de archivos en la nube sea ideal para las cargas de trabajo que dependen de sistemas de archivos compartidos y provee una integración simple sin necesidad de introducir cambios en el código. [1] ¿Qué es un sistema de archivos en la nube? Un sistema de archivos en la nube es un sistema de almacenamiento jerárquico en la nube que proporciona acceso compartido a los datos de los archivos. Los usuarios pueden crear, eliminar, modificar, leer y escribir archivos, así como organizarlos lógicamente en árboles de directorios para un acceso intuitivo. (…) ¿Cuáles son los casos de uso del almacenamiento de archivos en la nube? El almacenamiento de archivos en la nube proporciona la flexibilidad necesaria para admitir e integrar las aplicaciones existentes, además de la facilidad para desplegar, administrar y mantener todos sus archivos en la nube. Estas dos ventajas clave dan a las organizaciones la capacidad de admitir un amplio espectro de aplicaciones y verticales. Casos de uso como los grandes repositorios de contenido, los entornos de desarrollo, los almacenes multimedia y los directorios personales de los usuarios son cargas de trabajo ideales para el almacenamiento de archivos en la nube. Algunos ejemplos de casos de uso para el almacenamiento de archivos son los siguientes. Servidores web La necesidad de un almacenamiento de archivos compartido para las aplicaciones que sirven a la web puede suponer un reto a la hora de integrar las aplicaciones backend. Normalmente, hay varios servidores web que entregan el contenido de un sitio web, y cada servidor web necesita acceder al mismo conjunto de archivos. Dado que las soluciones de almacenamiento de archivos en la nube se adhieren a los protocolos comunes para los archivos, a las convenciones de denominación de archivos y a los permisos a los que están acostumbrados los desarrolladores web, el almacenamiento de archivos en la nube puede integrarse en sus aplicaciones web. Administración de contenido Diego Borengiu - Gonzalo Meana - Juan José Meza Página 11 de 23 Un sistema de administración de contenidos (CMS) requiere un espacio de nombres común y acceso a una jerarquía de sistemas de archivos. De forma similar a los casos de uso del servicio web, los entornos de CMS suelen tener varios servidores que necesitan acceder al mismo conjunto de archivos para servir el contenido. Dado que las soluciones de almacenamiento de archivos en la nube se adhieren a la semántica esperada del sistema de archivos, a las convenciones de nomenclatura de archivos y a los permisos a los que están acostumbrados los desarrolladores, el almacenamiento de documentos y otros archivos puede integrarse en los flujos de trabajo existentes del CMS. Análisis La analítica puede requerir cantidades masivas de almacenamiento de datos que, además, pueden escalar aún más para seguir el ritmo del crecimiento. Este almacenamiento también debe proporcionar el rendimiento necesario para entregar los datos a las herramientas de análisis. Muchas cargas de trabajo analíticas interactúan con los datos a través de una interfaz de archivos, dependen de características como los bloqueos de archivos y requieren la capacidad de escribir en partes de un archivo. Dado que el almacenamiento de archivos basado en la nube es admite los protocolos comunes a nivel de archivo y puede escalar la capacidad, así como el rendimiento, es ideal para ofrecer una solución de intercambio de archivos que sea fácil de integrar en los flujos de trabajo de macrodatos y análisis existentes. Contenido multimedia y entretenimiento Los flujos de trabajo del contenido multimedia y del entretenimiento cambian constantemente. Muchas empresas utilizan un despliegue de nube híbrida y necesitan un acceso estandarizado mediante protocolos de sistema de archivos (NFS o SMB) o un acceso de protocolo concurrente. Estos flujos de trabajo requieren un acceso flexible, consistente y seguro a los datos de las soluciones disponibles en el mercado, las construidas a medida y las de los socios. Dado que el almacenamiento de archivos en la nube se adhiere a la semántica de los sistemas de archivos existentes, el almacenamiento de contenidos multimedia enriquecidos para su procesamiento y colaboración puede integrarse para la producción de contenidos, las cadenas de suministro digital, la transmisión de medios, la emisión de programas, el análisis y el archivo. Directorios de inicio Diego Borengiu - Gonzalo Meana - Juan José Meza Página 12 de 23 El uso de directorios personales para almacenar archivos a los que solo pueden acceder usuarios y grupos específicos puede ser beneficioso para muchos flujos de trabajo en la nube. Las empresas que quieren aprovechar las ventajas de escalabilidad y costo de la nube amplían el acceso a los directorios personales de muchos de sus usuarios. Dado que los sistemas de almacenamiento de archivos en la nube se adhieren a protocolos comunes a nivel de archivos y a modelos de permisos estándar, los clientes pueden migrar mediante lift a-and-shift a la nube las aplicaciones que necesiten esta capacidad. Copias de seguridad de bases de datos La copia de seguridad de los datos mediante los mecanismos, el software y la semántica existentes puede crear un escenario de recuperación de desastres aislado con poca flexibilidad de ubicación para la recuperación. Muchas empresas quieren aprovechar la flexibilidad de almacenar las copias de seguridad de las bases de datos en la nube, ya sea para proteger temporalmente las versiones anteriores durante las actualizaciones o para el desarrollo y las pruebas. Dado que el almacenamiento de archivos en la nube presenta un sistema de archivos estándar que puede montarse desde los servidores de bases de datos, puede ser una plataforma ideal para crear copias de seguridad portátiles de las bases de datos mediante herramientas de aplicaciones nativas o aplicaciones de copia de seguridad empresariales. Herramientas de desarrollo Los entornos de desarrollo pueden enfrentarse al reto de compartir datos no estructurados de forma segura mientras colaboran para desarrollar sus últimas innovaciones. Con la necesidad de compartir el código y otros archivos de forma organizada, el uso del almacenamiento compartido de archivos en la nube proporciona un repositorio organizado y seguro que es accesible dentro de sus entornos de desarrollo en la nube. El almacenamiento de archivos basado en la nube ofrece una solución escalable y de alta disponibilidad ideal para la colaboración. Almacenamiento para contenedores y aplicaciones sin servidor Los contenedores son ideales para crear microservicios porque son rápidos de aprovisionar, son portátiles y proporcionan aislamiento de procesos. Un contenedor que necesite acceder a los datos originales cada vez que se inicie puede necesitar un sistema de archivos compartido al que pueda conectarse independientemente de la instancia en la que se ejecute. El almacenamiento de archivos en la nube puede ofrecer acceso compartido constante a los datos que todos los contenedores de un clúster pueden utilizar. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 13 de 23 Puede aumentar la agilidad con la computación en la nube sin servidores mientras dedica menos tiempo a centrarse en la seguridad, la escalabilidad y la disponibilidad de sus aplicaciones. Por ejemplo, puede ejecutar aplicaciones sin servidor a gran escala y de misión crítica en AWS Lambda. El almacenamiento de archivos enla nube puede proporcionar un almacenamiento de datos sin servidor altamente disponible y duradero para el intercambio de datos que necesita persistir más allá y entre las ejecuciones de las funciones Lambda. Computación para el usuario final La computación para el usuario final (EUC) es una combinación de tecnologías que proporciona a sus empleados un acceso seguro y remoto a las aplicaciones, los escritorios y los datos que necesitan para realizar su trabajo. Las empresas modernas utilizan EUC para que sus empleados puedan trabajar desde cualquier lugar, a través de múltiples dispositivos, de forma segura y escalable. Las tecnologías EUC, como los escritorios persistentes y los sistemas de administración de documentos, requieren sistemas de almacenamiento de archivos seguros, fiables y escalables. [3] ESTÁNDARES PARA CLOUD COMPUTING: ESTADO DEL ARTE Y ANÁLISIS DE PROTOCOLOS PARA VARIAS NUBES Computación en la Nube se ha ido desarrollando por diferentes fabricantes de Software, pero hasta el momento no se tienen unos criterios de estandarización ni para la arquitectura del software, ni para los esquemas de comunicación que se utilizan. La falta de normas es el mayor problema para la nube. No existen aún marcos ampliamente aceptados para ayudar a la integración de los servicios en la nube en las arquitecturas empresariales, para apoyar la transferencia de información entre diferentes nubes o para permitir rápida adquisición y negociación de contratos [1]. Sin embargo, se puede partir del hecho que los servicios de Computación en la Nube, tales como IaaS (Infraestructura como Servicio), PaaS (Plataforma como servicio) y SaaS (Software como Servicio), se basan en los protocolos de comunicaciones TCP/IP y que las aplicaciones y servicios ofrecidos por los sistemas de Cloud Computing están basados en Servicios Web, Protocolos y Formatos de datos Web con estándares bien establecidos. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 14 de 23 Desde el punto de vista de los estándares, la Computación en la Nube puede ser vista como una red de comunicaciones con servidores, clientes y servicios similares a los de cualquier otra red de comunicaciones basada en una Internet. Es así, que el intercambio de paquetes está regido por protocolos de comunicaciones típicos en un ambiente de computación distribuido tales como TCP, IP, SMTP y HTTP. El cambio de los modelos de servicio tales como SMTP o DNS hacia modelos basados en la Nube (Cloud Based), en principio no genera cambios en los procesos de comunicación. Sin embargo, es necesario hablar de estándares, pues los fabricantes de software están desarrollando sus propias nubes y cada uno hace las cosas a su manera, lo que puede traer problemas de interconexión entre nubes de diferentes fabricantes. Esto puede inducir a problemas con los usuarios y también problemas de inestabilidad de los sistemas de Computación en la Nube. (...) Según [3], los estándares para los servicios de Computación en la Nube, pueden ser divididos en dos clases: estándares prescriptivos y estándares evaluativos. Los primeros se refieren a los estándares de comunicaciones, tales como los protocolos TCP, IP, SNMP, HTTP, etc. De otra parte, los estándares evaluativos se refieren a estándares de Calidad de los sistemas de Cloud Computing, los cuales se encargan de describir y evaluar los procedimientos seguidos en los procesos en general, como es el caso de la familia de estándares ISO 9000, y procedimientos específicos para seguridad de la información como los de la familia ISO 27000. Algunos aspectos de Calidad de los proveedores de Servicios de Cloud Computing incluyen características medibles como: el tiempo de actividad, el rendimiento, la disponibilidad, la seguridad, la privacidad, el cumplimiento, el servicio al cliente y la portabilidad a través de los vendedores. (...) De otra parte, la ITU-T también ha hecho esfuerzos conjuntos con la ISO (International Standards Organization) y la IEC (International Electrotechnical Commission), y han desarrollado algunas recomendaciones conjuntas a través de la JTC (Joint Technical Commission) ó Comisión Técnica Conjunta denominada ISO/IEC (...) Otra entidad que ha iniciado labores de estandarización es la IETF (Internet Engineering Task Force), entidad que genera los estándares de Internet. La IETF tiene un grupo de trabajo en Cloud Computing y hasta el momento ha generado el RFC 6208 [6], que describe los tipos de medios para las interfaces de Gestión de Datos de Nubes (Cloud Data Management Interface-CDMI- Media Types). En el documento se describen varios tipos de medios de internet definidos para la Interfaz de Manejo de Datos en la Nube (CDMI) por la Asociación de industrias de Redes de Almacenamiento (SNIA) (...) Diego Borengiu - Gonzalo Meana - Juan José Meza Página 15 de 23 La CDMI propone un grupo de interfaces funcionales entre datos y la gestión de los mismos (control) para crear, editar, actualizar y borrar los datos en un almacenamiento en la nube. Otro concepto es el estándar de metadatos, los metadatos facilitan el flujo de trabajo convirtiendo datos automáticamente de un formato a otro. Para eso es necesario que los metadatos describen el contenido y estructura de los datos. Algunos metadatos hacen posible una compresión de datos más eficaz. Por ejemplo, si en un vídeo el software sabe distinguir el primer plano del fondo puede usar algoritmos de compresión diferentes y así mejorar la cuota de compresión. (...) [2] ¿Qué es el cloud security? A medida que las empresas van migrando al cloud, resulta fundamental comprender los requisitos de seguridad para proteger los datos. Aunque los proveedores de cloud computing externos pueden encargarse de la gestión de esta infraestructura, la responsabilidad de la seguridad de los activos de datos no necesariamente recae en ellos. De forma predeterminada, la mayoría de los proveedores de cloud siguen las mejores prácticas de seguridad y toman medidas activas para proteger la integridad de sus servidores. Sin embargo, las organizaciones deben tomar sus propias consideraciones para proteger los datos, las aplicaciones y las cargas de trabajo que se ejecutan en cloud. ¿Cuáles son algunos de los desafíos de la seguridad en cloud? Falta de visibilidad Es fácil perder la pista de cómo y quién accede a sus datos, ya que se accede a muchos servicios de cloud fuera de las redes corporativas y a través de terceros. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 16 de 23 Multitenencia Los entornos de cloud público alojan las infraestructuras de varios clientes bajo el mismo paraguas, por lo que es posible que sus servicios alojados sean objeto de ataques maliciosos como daños colaterales cuando se ataca a otros negocios. Gestión de accesos y TI invisible Si bien las empresas pueden gestionar y restringir puntos de acceso en los sistemas locales, administrar estos mismos niveles de restricciones puede plantear un desafío en entornos cloud. Esto puede resultar peligroso para las organizaciones que no implementan políticas de BYOD (traiga su propio dispositivo) ya que se permite el acceso sin filtro a los servicios de cloud desde cualquier dispositivo o geolocalización. Conformidad La gestión de la conformidad con la normativa es a menudo una fuente de confusión para las empresas que utilizan despliegues de cloud público o híbrido. La responsabilidad general de la privacidad y la seguridad de los datos recae en la empresa, y la gran dependencia de soluciones de terceros para gestionar este componente puede acarrear costosos problemas de conformidad. Configuraciones incorrectas Los activos mal configurados representaron el 86 % de los registros infringidos en 2019, con lo cual el actor internoinadvertido se convierte en un elemento clave para los entornos de cloud computing. Las configuraciones incorrectas pueden incluir dejar las contraseñas administrativas predeterminadas, o no crear configuraciones de privacidad adecuadas. (...) [5] ¿Cómo protegen los metadatos las grandes empresas proveedoras de plataformas cloud? IBM Diego Borengiu - Gonzalo Meana - Juan José Meza Página 17 de 23 Recopilación, entrega y almacenamiento de metadatos en la nube Para transformar los metadatos en conocimientos y presentarlos en IBM Storage Insights Pro o en IBM Storage Insights, el recopilador de datos reenvía paquetes de metadatos para su análisis y almacenamiento al centro de datos de IBM Cloud (ubicado en Washington, D.C.). Metadatos protegidos Para mantener el paquete de metadatos seguro en su viaje a la nube, el recopilador de datos utiliza HTTPS (Hypertext Transfer Protocol Secure), que cifra los metadatos y envía el paquete de metadatos a través de un canal seguro al centro de dato de IBM Cloud. En la pasarela de proxy inverso En la pasarela, o la pasarela de proxy inverso, el paquete de metadatos obtiene instrucciones para entregar el paquete al servicio IBM Storage Insights Pro o IBM Storage Insights. Solo los recopiladores de datos asociados al servicio pueden recopilar y entregar metadatos sobre el entorno de almacenamiento. Cuando el paquete de metadatos se entrega, los metadatos se cifran, analizan y almacenan. Desde el centro de datos a Internet Las conexiones HTTPS se utilizan para comprimir y cifrar los metadatos que se recopilan sobre los sistemas de almacenamiento y se envían al centro de datos de IBM Cloud. Como parte del proceso de incorporación, se le proporcionará un nombre de host y un número de puerto para el servicio IBM Storage Insights Pro o IBM Storage Insights. Para proteger la comunicación de salida entre el recopilador de datos e IBM Storage Insights Pro o IBM Storage Insights, se utiliza un certificado SSL (Secure Sockets Layer). Las conexiones HTTPS utilizan certificados emitidos por Cloudflare, Inc. (nombre común del emisor "Cloudflare Inc ECC CA-3") y utilizan TLS 1.2 y TLS 1.3 con claves de 256 bytes. (...) En el centro de datos de IBM Cloud IBM Storage Insights Pro e IBM Storage Insights están alojados en centros de datos de IBM Cloud, que cumplen altos estándares de seguridad organizativa, técnica y física. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 18 de 23 Seguridad de claves Cada instancia de IBM Storage Insights utiliza un almacén de claves local que está dedicado a esa instancia y está protegido mediante contraseña. La contraseña para el almacén de claves se genera aleatoriamente cuando se crea la instancia. El certificado del almacén de claves es exclusivo para cada instancia y la contraseña del almacén está cifrada. (El cifrado no incluye el cifrado de hardware). La contraseña maestra se mantiene cifrada en la configuración de carga útil de servicio en una ubicación segura en IBM Cloud. Sólo hay una clave de cliente externa, que es la clave pública que está certificada por DigiCert. Como parte del protocolo TLS y del intercambio de certificados, el cliente (navegador web) utiliza el certificado firmado para verificar que se está comunicando con IBM Storage Insights Pro o la pasarela de IBM Storage Insights en IBM Cloud y que las comunicaciones no se han manipulado indebidamente. Para el tráfico interno, cada instancia de cliente de IBM Storage Insights Pro o IBM Storage Insights tiene una clave exclusiva, protegida con una contraseña cifrada exclusiva y auto-firmada por IBM para validar que la comunicación se produce entre el cliente y la instancia del cliente. Protección física Los centros de datos se controlan de forma rigurosa y se proporciona seguridad en el sitio las 24 horas. El acceso a las salas de los servidores está limitado a los empleados certificados y auditores externos examinan los controles de seguridad. Seguridad técnica Cada instancia de IBM Storage Insights Pro o IBM Storage Insights está aislada de otras instancias de IBM Storage Insights Pro o IBM Storage Insights a nivel de cálculo y de almacenamiento. Cada instancia utiliza también su propia base de datos, que almacena sólo datos para esa instancia. La base de datos se cifra por separado utilizando cifrado IBM DB2 nativo con un algoritmo criptográfico sólido, cifrado AES de 256 bits. Se utiliza un certificado SSL. Para la base de datos DB2 cifrada y sus copias de seguridad cifradas almacenadas en IBM Cloud, el certificado está auto firmado por IBM. (...) Seguridad organizativa El acceso a la infraestructura y las instancias de IBM Storage Insights Pro e IBM Storage Insights se controla: Diego Borengiu - Gonzalo Meana - Juan José Meza Página 19 de 23 Mediante la restricción del acceso a los miembros del equipo DevOps y los equipos de la infraestructura del servicio en la nube que están cualificados como usuarios con privilegios. Mediante la realización de exploraciones de vulnerabilidades y de salud del sistema en el nivel de código fuente y en las instancias en ejecución. Mediante la realización de pruebas periódicas de penetración. Empresas externas realizan las pruebas de penetración. [3] Google cloud platform (GCP) Consideraciones de seguridad de metadatos Cuando realizas una solicitud para obtener información del servidor de metadatos, la solicitud y la respuesta de metadatos posterior nunca abandonan el host físico que ejecuta la VM. Sin embargo, cualquier proceso que pueda consultar la URL de metadatos tiene acceso a todos los valores del servidor de metadatos. Esto incluye cualquier valor de metadatos personalizados que escribas en el servidor. Google recomienda que tengas cuidado cuando escribas valores sensibles en el servidor de metadatos o cuando ejecutes procesos de terceros. ● Propuesta. 1) síntesis del problema a resolver; Sin duda alguna, nos enfrentamos a una situación compleja de resolver. Esto se debe a que estamos hablando de un concepto completamente relevante para el ámbito de seguridad de la información, como es el metadato y una tecnología que, si bien ya lleva varios años en el mercado, aún se encuentra en constante actualización y cambios. Dentro de lo que es el cloud computing, no existen estándares o normativas vigentes para tratar esta tecnología puntual. De hecho, una de las mayores empresas proveedoras de este servicio, Google a partir de su plataforma “GCP” recomienda que “tengas cuidado cuando escribas valores sensibles en el servidor de metadatos o cuando ejecutes procesos de terceros”. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 20 de 23 Dicha frase, analizada objetivamente, implica sin duda alguna la falta de existencia de normativas y medidas confiables para el tratamiento de este tipo de archivos. Es importante recordar que “un metadato es la mínima información indispensable para identificar un recurso, como puede ser un archivo en una computadora, una información extra sobre un tipo de dato, como por ejemplo el autor, la extensión o su formato. (…) De hecho, si atendemos a su etimología, literalmente significa «más allá de los datos» en referencia a esos datos que describen” 2) objetivos de la propuesta; La presente propuesta intenta promover la definición de estándares con respecto a la seguridad de la información del metadato para los almacenamientos en el cloud computing y una normativa de base para toda empresa proveedora de sistemas de cloud computing con respecto al manejo de metadatos. 3) estrategia a implementar En un primer punto, consideramos necesario un profundo relevamiento acerca del estado actual de cada una de las empresas proveedoras de cloud acerca de supropio manejo de los metadatos. Es importante comentar que se denota una importante distinción entre las distintas empresas como IBM o Google. Luego del relevamiento y entendiendo que pocas empresas se dedican a proveer el servicio de cloud computing, consideramos que estas podrían trabajar en conjunto para la definición de estándares y normativas de seguridad. Dicha propuesta, surge de imitar el formato de crecimiento que tomaron las empresas de tarjetas de crédito con la normativa “PCI”, sobre la cuál las principales proveedoras de tarjetas de crédito (Visa, Mastercard, American Express) trabajaron conjuntamente en la realización de una normativa que garantice la seguridad de las transacciones en dicho ámbito. 4) descripción del procedimiento y actividades a desarrollar; Se recomienda entonces, realizar una alianza estratégica entre las principales proveedoras de cloud computing (AWS, GCP, Azure e IBM) en pos de definir una normativa para el tratamiento y garantización de la seguridad en lo que respecta a los metadatos dentro del ámbito de cloud computing. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 21 de 23 Luego de la realización de esta alianza, se recomienda una puesta en común de las distintas formas de trabajo de cada una de las empresas en cuanto a la temática planteada. Posteriormente, se propone incorporar en un borrador de normativa, las mejores técnicas utilizadas entre todas las empresas planteadas. A su vez, se recomienda incorporar organismos internacionales como pueda ser ISO, a la realización de tal normativa, en pos de implementar su visión generalizada de distintas temáticas orientadas a la seguridad. Una vez definido el borrador de la normativa, se recomienda su implementación como “MVP”, y su posterior prueba, en pos de verificar que la existencia de la normativa ayude a las distintas empresas a garantizar la seguridad de la información del metadato para los almacenamientos en el cloud computing. 5) acciones previstas para la evaluación de la propuesta. Se propone definir métricas para la medición de la seguridad en de la información del metadato para los almacenamientos en el cloud computing. Se propone la realización de pruebas sustantivas a partir de dichas métricas en pos de relevar la situación actual de la seguridad en cada una de las empresas. Se propone la repetición de las pruebas sustantivas y realización de pruebas de cumplimiento, luego de la implementación de las normativas planificadas, en pos de verificar su funcionamiento. - Conclusiones. Diego Borengiu - Gonzalo Meana - Juan José Meza Página 22 de 23 Luego de la investigación realizada, consideramos que hoy en día no se garantiza a nivel general la seguridad del metadato en el cloud computing. En nuestra opinión, la seguridad del metadato en el cloud computing se trabaja, se intenta mantener y se busca que se mantenga íntegra. No obstante, y basándonos en el comentario de Google en su propia página donde comenta dicho tema, cuando recomiendan que “tengas cuidado cuando escribas valores sensibles en el servidor de metadatos”, en nuestra opinión están demostrando el bajo nivel de seguridad que dicho servicio ofrece. Por el contrario, si garantizarán la seguridad su mensaje seguramente sería distinto, comentando que sus metadatos estaban resguardados y garantizados por ellos mismos. Siguiendo con nuestra conclusión, consideramos que no podemos hablar de una generalidad en cuanto a la seguridad del metadato en el cloud computing, porque hoy en día y por el estado del arte de esta tecnología, depende puntualmente de cada proveedor de este servicio. Por el contrario a Google, IBM comenta que “Para mantener el paquete de metadatos seguro en su viaje a la nube, el recopilador de datos utiliza HTTPS (Hypertext Transfer Protocol Secure), que cifra los metadatos y envía el paquete de metadatos a través de un canal seguro al centro de dato de IBM Cloud” [5]. Sin duda alguna, es una estrategia de seguridad mucho más confiable que la comentada por GCP. Sin duda alguna, la relevancia de este concepto hará que las distintas empresas continúen trabajando en dicha área, en pos de seguir mejorando y perfeccionando su seguridad a nivel general y puntualmente garantizando la seguridad del metadato en cloud computing. - Referencias bibliográficas. [1] Breeding, Marshall (2012) Tendencias actuales y futuras en tecnologías de la información para unidades de información. El profesional de la información, Volumen 21, número 1 enero-febrero, Página 12. Recuperado el día 09/11/2022, de la base de datos de Google Diego Borengiu - Gonzalo Meana - Juan José Meza Página 23 de 23 [2] Padilla Aguilar, Jhon Jairo; Pinzón Castellanos, Javier (2015) ESTÁNDARES PARA CLOUD COMPUTING: ESTADO DEL ARTE Y ANÁLISIS DE PROTOCOLOS PARA VARIAS NUBES. Facultad de Ingeniería Electrónica. Pontificia Bolivariana Recuperado el día 09/05/2015 de la base de datos de Google. [3] AWS. Amazon ¿Qué es el almacenamiento de archivos en la nube? consulta efectuada el día 22 en https://aws.amazon.com/es/what-is/cloud-file-storage/ [3] Cómo se protegen los metadatos. Consulta efectuada el día 22 en https://www.ibm.com/docs/es/storage-insights?topic=security-how-is-metadata-protected [4] Metadatos. Definición, funciones y ejemplos. Consulta efectuada el día 22 en https://protecciondatos-lopd.com/empresas/metadatos/ [5] Una visión general de seguridad en la nube. Consulta efectuada el día 22 en https://www.ibm.com/ar- es/topics/cloud-security https://aws.amazon.com/es/what-is/cloud-file-storage/ https://www.ibm.com/docs/es/storage-insights?topic=security-how-is-metadata-protected https://protecciondatos-lopd.com/empresas/metadatos/ https://www.ibm.com/ar-es/topics/cloud-security https://www.ibm.com/ar-es/topics/cloud-security
Compartir