Guía Seguridad del CNI para Utilización Servicios Cloud (01) - REQUISITOS DE SEGURIDAD
Hace
casi un año el Centro Criptológico Nacional editó una guía de seguridad con
normas, instrucciones y recomendaciones sobre seguridad en la utilización de
servicios Cloud.
Esta guía de seguridad incluye una serie de recomendaciones para mejorar la seguridad en la Utilización de Servicios Cloud. Siendo las más reseñables las siguientes:
El
Centro Criptológico Nacional (https://www.ccn-cert.cni.es/) es un centro perteneciente
al Centro Nacional de Inteligencia, y es el responsable de garantizar la
seguridad en las Tecnologías de la Información y la Comunicación además de asegurar
la protección de la información tanto para las administraciones públicas como para
organizaciones privadas consideradas de interés estratégico.
Entre
las principales misiones de este centro se encuentra la elaboración de guías orientadas
a la aplicación de políticas y procedimientos de seguridad, así como recomendaciones
sobre el empleo de tecnologías con suficiente seguridad a fin de mejorar el
grado de ciberseguridad de las organizaciones y de la administración. Dentro de
la serie de guías CCN-STIC, existe una guía (CCN-STIC-823) dedicada a la
seguridad en la “Utilización de servicios en la nube”.
Dada la extensión y el interés de esta guía, desde Spain Cloud Computing vamos a dedicar un serial de artículos según la temática que recoge la propia guía. Este artículo corresponde al primero de la mencionada serie y está dedicado a los Requisitos de Seguridad que deben cumplir los servicios Cloud.
¿Qué son los Requisitos de Seguridad?
Los
Requisitos de Seguridad son los requerimientos que deben exigir las
organizaciones que hacen uso de servicios Cloud a los Proveedores de
Servicios Cloud en materia de seguridad para estar alineados con el ENS (Esquema Nacional de Seguridad) y la LOPD. En este sentido ambas
partes, usuarios y proveedores de servicios, son responsables de cumplir los
requisitos de seguridad aunque el grado de responsabilidad de cada parte vendrá
definido según las características de los servicios y el tipo de cloud que se
implante.
De
esta manera en función del entorno de despliegue (puedes consultar más
información haciendo click AQUÍ)
el hecho de que sea una Nube Pública, Privada o Híbrida, condiciona el modo de afrontar las obligaciones sobre los Requisitos de Seguridad.
- En el caso de que la organización sea propietaria y administradora del sistema Cloud (Nube Privada), la adecuación y cumplimiento de la normativa vigente recae directamente sobre la organización.
- En caso contrario, si el sistema Cloud está operado o provisto por un tercero (Nube Pública) este deberá cumplir con toda la normativa relativa a los Proveedores de Servicios en Internet.
- En caso de Nubes Híbridas pero también en las Públicas, las organizaciones y los proveedores deben alinearse y trabajar conjuntamente para asegurar que entre ambos se cumplen los Requisitos de Seguridad.
No obstante la guía subraya que la responsabilidad sobre la información recaé en todo caso sobre el organismo propietario de la información, y que en ningún caso la existencia de acuerdos entre las partes, seguros u otras medidas, eximen al propietario de su responsabilidad.
Roles y Funciones.
La guía identifica una serie de roles que deben definir las organizaciones y los proveedores de servicios y sus funciones asociadas, para asegurar que cumplen con sus requisitos de segurida.
El siguiente esquema identifica estos roles así como las relaciones entre roles de la organización y del Proveedor de Servicios:
- Responsable de la Información: Se trata de un rol que deben definir las organizaciones. Su prioridad es garantizar que se cumplen los deberes y obligaciones de custodia de la información, además de la persecución de incumplimientos legales, normativos y contractuales, especialmente cuando se han contratado recursos externos con diferentes ubicaciones geográficas.
- Responsable del Servicio: Establecen los requisitos de seguridad según legislación y normativa y son los máximos responsables del servicio.
- Responsable de Seguridad: Este rol debe existir tanto en la organización como en el proveedor de servicios y además deben trabajar conjuntamente ambos. Deben garantizar la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de los servicios. Ambas partes no tienen por qué garantizar todas estas condiciones sino que dependiendo del tipo de Cloud pueden estar repartidas y recaer sobre uno u otro.
- Responsable del Sistema: Son respnsables de que sus servicios operen correctamente y de la contratación de productos y servicios a terceros.
La guía da el siguiente ejemplo que ayuda a entender mejor la definición del Responsable de Seguridad:
"Un escenario habitual es el de servicios de almacenamiento en la nube, sin tratamiento de datos en la nube. En este caso es recomendable que todos los datos se cifren antes de salir del organismo, de forma que los requisitos de seguridad sobre los proveedores se reducen a la dimensión de disponibilidad. El organismo será el único en poder de las claves de cifra, a las que aplicará lo previsto en el Anexo II del ENS".
"Un escenario habitual es el de servicios de almacenamiento en la nube, sin tratamiento de datos en la nube. En este caso es recomendable que todos los datos se cifren antes de salir del organismo, de forma que los requisitos de seguridad sobre los proveedores se reducen a la dimensión de disponibilidad. El organismo será el único en poder de las claves de cifra, a las que aplicará lo previsto en el Anexo II del ENS".
Recomendaciones.
Esta guía de seguridad incluye una serie de recomendaciones para mejorar la seguridad en la Utilización de Servicios Cloud. Siendo las más reseñables las siguientes:
- Las claves empleadas para cifrado jamás deberán alojarse en el sistema Cloud, ni deberán emplearse en aplicaciones ejecutadas en el Cloud.
- La gestión de usuarios (CRUD) así como la asignación de sus permisos no debe hacerse desde un entorno Cloud.
- Los registros sobre la actividad de los usuarios no deberán cederse al Proveedor de Servicios.
- La firma electrónica o servicios similares, deben ser provistos por terceros especializados y de confianza y en base a la legislación vigente.
Restricciones.
El Proveedor de Servicios puede asumir alguna de las cuestiones anteriores siempre y cuando justifique que protegen igual o mejor los activos del cliente. Además el proveedor debe realizar un análisis sobre los riesgos. Otras restricciones incluidas en esta guía, atañen a la virtualización en el entorno Cloud, destacando las siguientes consideraciones:
- Los elementos virtualizados se comportan igual que los no virtualizados en lo que a reglas de seguridad y regulación se refiere.
- Las imágenes virtuales se tratan como datos con las mismas restricciones de seguridad que la información.
- Deben garantizar las conexiones mediante el cumplimiento de la norma CCN-STIC-811 (enlace).
Comunidades.
Por último la guía identifica diferentes grupos de usuarios en función de sus Requisitos de Seguridad, estos grupos se denominan "Comunidades" y se clasifican en tres tipos diferentes, Comunidad Baja, Media y Alta. Y algunos de los puntos que deben cumplir estas comunidades son los siguientes:
Comunidad Baja:
- Se registran la creación, traslado, activación y destrucción de elementos virtuales. Así mismo se registrará el montaje y la retirada de soportes de información, físicos o virtuales.
- Los requisitos de identificación y autenticación del administrador del hipervisor (monitorización de máquina virtual) corresponderán a los de un sistema de categoría MEDIA según el ENS.
- La red dedicada a usuarios es una red físicamente diferenciada de otras redes que pueda tener el proveedor.
- Si el usuario contrata una interconexión al proveedor, por ejemplo a Internet, el proveedor tendrá una máquina separada que preste los servicios de frontera.
Comunidad Media:
- Además de los requisitos para Comunidad BAJA.
- No se compartirán equipos con otras comunidades.
- No se compartirá el mismo hipervisor con otras comunidades.
- La administración del hipervisor estará separada de la administración de los elementos virtualizados: diferentes interfaces, diferentes cuentas de administrador, y diferentes administradores.
Comunidad Alta:
- Además de los requisitos para Comunidad MEDIA.
- La red administrativa estará separada lógica (red privada virtual) o físicamente (red específica) de la red administrativa de otras comunidades.
Conclusiones.
La Guía de Seguridad CCN-STIC-823 elaborada por el CNI, regula las normas que deben cumplir la administración y algunas organizaciones privadas a la hora de utilizar servicios Cloud.
Esta guía define diferentes roles y las funciones que deberán desempeñar, además define distintos tipos de grupos (Comunidades) en función de sus requisitos de seguridad y unas obligaciones que han de cumplirse en función del grupo al que pertenezcan.
Además proveé unas recomendaciones sobre seguridad y unas restricciones sobre estas que deberán cumplirse.
Spain Cloud Computing:
Puedes descargar íntegramente la Guía CCN-STIC-823 desde el siguiente enlace:
