[Resumen] NIST SP 800-144: Guidelines on Security and Privacy in

Public Cloud Computing

En diciembre del 2011 el NIST (National Institute of Standards and Technology)

publico la gua de Seguridad (NIST SP 800-144) y buenas prcticas sobre la Privacidad
en entornos de "Cloud Computing".

Objetivo
El objetivo de esta guia es proporcionar una visin general de los retos en Seguridad y
Privacidad inherentes a los entornos pblicos de "cloud computing", as como exponer
los "puntos claves" que las organizaciones han de plantearse en el momento de
externalizacin de los datos, aplicaciones o infraestructura basado en entornos pblicos
de cloud computing.

Contenido
A grandes rasgos el contenido de la guia se centra fundamentalmente en:

Repaso de los modelos y tipos de Servicios en el Cloud Computing.

Descripcin de los servicios en "Public Cloud".

Las Claves de la Seguridad y la Privacidad en Public Cloud.

Resumn de los puntos Claves

Gobernance: El gobierno consiste en que la Organizacin debe de tener una completa
visin y control sobre las polticas, procedimientos y estndares que se estn aplicando
en los servicios adquiridos.
Se debe de llegar a un "acuerdo" con el centro de servicios del "Public Cloud" para
determinar los Roles y responsabilidades entre ambas organizaciones, en especial sobre
la gestin del riesgo y la aplicacin de los requisitos establecidos (polticas y
procedimientos). As mismo se debern de establecer los mecanismos de control
adecuados para su correcta monitorizacin y seguimiento, por ejemplo, mediante
auditoras peridicas.

Las auditoras debern, al menos, ser orientadas a verificar cmo los datos son
almacenados, protegidos y usados.

Compliance: Es responsabilidad de la Organizacin cumplir con la regulacin y

normativa establecida en las leyes.

Ser por tanto, tarea del centro de servicios de "Public Cloud", informar sobre la
jurisdiccin que les aplica, para poder "vigilar" y "verificar" desde la Organizacin el
cumplimiento normativo de la zona. Los esfuerzos se debe poner en asegurar el
cumplimiento normativo entorno a la Seguridad y la Privacidad de los datos, de forma
que se deber hacer especial a los siguientes puntos:

Localizacin de los Datos: En especial cuando se realizan transferencias

internacionales (cruzan las fronteras) de los mismos. Estableciendo un mapa del
flujo real de los datos, para comprobar que "leyes" aplican en el seguimiento de
los datos, "recogida", "transferencia", "almacenamiento", todo con objeto de
valorar los riesgos o beneficios diferentes en cada situacin.

Proceso electrnico: Este proceso contempla la identificacin, proceso de

captura, anlisis y tratamiento por el software de almacenamiento de la
informacin (ESI). Esto debe tenerse en consideracin sobre todo en cuento a la
eliminacin de la informacin, prestando especial inters la localizacin y
borrado seguro. Controles y auditoras para asegurarse el cumplimiento
normativo, si aplicase.

Trust: La mayor parte del control sobre los aspectos de seguridad y privacidad se base
en una relacin de confianza, entre el proveedor de los servicios y la organizacin. A
este respecto, las bases de la confianza, se establecen segn las "contramedidas"
controles establecidos para mitigar los riesgos de accesos no autorizados, en algunos
casos sern organismos externos los encargados de "asegurar" que la informacin esta
siendo protegida como es debido.

En los entornos de "Public Cloud" la confianza puede verse comprometida por varios
tipos de amenazas:

Acceso desde dentro (Insider): dado que la informacin esta realmente

almacenada fuera de los limite fsicos de la organizacin, las medidas de
seguridad establecida por est quedan fuera del alcance en la gestin del riesgo.
Aparecen nuevos riesgos, y amenazas a incluir, es decir el "Insiders" son el
propio personal administrativo del centro/proveedor de los servicios, operadores
de mantenimiento o incluso terceras empresas con acceso a las instalaciones del
 "Public Cloud". Se puede controlar, mediante "Gobernance", medidas de control
procedimentales y acuerdos contractuales.

Dueo de los Datos: debe de quedar claro y explicito en el contrato del servicio,
quin es el dueo de los datos.

Visibilidad: unos de los aspectos mas importantes es disponer de completa

visibilidad, por ejemplo, si el centro de servicios (public cloud) dispone de
sistemas de monitorizacin de los servicios, auditoras de seguridad y anlisis de
vulnerabilidades, se debera establecer un mecanismo para que la organizacin
tuviera acceso a los datos y poder actualizar el anlisis de riesgos
convenientemente. La transparencia en la operaciones llevadas a cabo por el
centro de servicios ser la clave del xito.

Gestin del Riesgo: como cualquier proceso en el ciclo de vida, la gestin de

riesgo en entornos de public cloud, debern ser considerados implementando los
controles anteriores, de transparencia y visibilidad, de modo que se puedan
llevar a cabo adecuados anlisis de riesgos.

Architecture: el diseo de la arquitectura tanto software como hardware sobre la que se

despliega la infraestructura que proporciona y da soporte al servicios ofrecido en el
entorno "public cloud" es crucial para la proteccin de la seguridad y la privacidad de
los datos. Es crucial, disponer de un servicio "seguro" en el centro de servicios. Se debe
de concocer la tecnologas que utiliza el centro de servicios con objeto de saber qu y
cuales sern los mejores controles que se deben de aplicar para la proteccin de los
datos. Con esa informacin, se podr descomponer en un conjunto de controles y
medidas para ser utilizados en la gestin y anlisis del riesgo. El conocimiento de la
infraestructura, ayudar a definir y minimizar las amenazas tales como:

Superficie de ataque: por ejemplo la utilizacin de entornos virtualizados donde

se comparten recursos, introduce un aumento de la superficie de exposicin en
cuanto, se hace ms amplio el abanico de posibilidades de ataque. Las polticas
de seguridad y los procedimientos de la organizacin debern poner nfasis en la
proteccin y configuracin de forma segura los entorno virtualizados.

Proteccin de las redes virtualizadas: La utilizacin de entornos virtualizados,

lleva a utilizar elementos tpicos de red en el espacio virtual "router" y
"switches", de este modo se deben de tomar la precauciones necesarias para
asegurar las redes, en los entornos virtuales. Ejemplo: separacin de redes
(VLAN), etc.

Imagenes virtuales: se debe de prestar especial atencin a las copias de

seguridad de las imagenes virtuales, ya que contienen informacin relevante
sobre la configuracin, del servicios, as como datos de explotacin. Se debe
considerar la creacin de un procedimiento especifico para la gestin de las
"imagenes virtuales" y ponerlo en comn con el proveedor del servicio.
 Proteccin en el cliente: por ultimo no se debe descuidar la seguridad en el lado
del cliente, las organizaciones deben de revisar las medidas de seguridad entorno
al software con el que se explota y accede al servicio en la nube.

Identify and Access Management: los mecanismos necesarios para conocer en todo
momento quin (identificacin y autenticacin) y cmo (controles de acceso, permisos,
roles) accede a la informacin (los datos). Se debe de evitar utilizar sistemas diferentes
para este cometido, tendiendo a unificar los sistemas de control de acceso, estableciendo
lo que se conoce como federaciones en los sistemas de identificacin y gestin del
acceso. Estas "federaciones" permiten establecer un nivel de confianza para la creacin
de un sistema de "single sign on", donde se comparte de manera segura los datos de
acceso entre el proveedor y la organizacin. La federacin de identidades puede
implementarse mediante SAML(Security Assertion Markup language) o el estndar
OPENID.

Software Insolation: La utilizacin de entornos virtualizados ayudan a controlar este

punto clave, no obstante la necesidad de los centro de servicios de utilizar entornos
compartidos y no dedicados, incrementan el riesgo y las amenazas, que se han de
considerar para la adecuada gestin del riesgo. En estos entornos, la adecuada seguridad
del "ncleo" ser necesariamente la seguridad que proporcione el "Hypervisor" del
sistema de virtualizacin. En definitiva, para gestionar adecuadamente el riesgo se debe
de conocer en profundidad la arquitectura utilizada por el "proveedor" de la nube. Esto
es necesario con objeto de dimensionar adecuadamente los mltiples "vectores de
ataque" que se presentan en los entornos virtualizados, y conocer los controles que el
propio centro de servicios utiliza para ello. "Esto implica disponer de un acuerdo de
servicio y claususlas contractuales que te respalden".

Data Protecction: tpicamente los centros de servicios comparten la infraestructura

entre diferentes "clientes" u Organismos, de modo que la proteccin y privacidad de los
datos, pudiera verse afectada. por ello, la proteccin de los datos debe centrarse en:

Aislamiento de los Datos: puesto que los datos pueden estar presente en
mltiples formas, se deben de utilizar mecanismos que permitan aislar unos de
otros, como por ejemplo: Sistemas de cifrado, de forma que a pesar de compartir
un mismo medio fsico, los datos no puedan ser visibles entre si, y solamente
sean accesibles para quienes tenga la autorizacin correspondiente.

Sanitizacin de los datos: la eliminacin de los datos, debe asegurarse que se

toman las medidas apropiadas para eliminar por completo la informacin
almacenada. Se deber de establecer los controles necesarios (procedimientos,
auditoras) para asegurar que lo datos son borrados de manera segura.

Availabity: la disponibilidad de los datos, puede ocasionar medidas adicionales para

controlar la ubicacin de los datos, en ocasiones, estas medidas de proteccin frente a
los ataques de denegacin de servicio, implican la utilizacin de centros "contratados
con terceros". Para poder gestionar adecaudamente el riesgo se deben de tener en
consideracin todas las situaciones, as como las medidas y salvaguardas establecidas.
Incident Response: la gestin de incidentes debe ser "manejada" como en cualquier
otro sistema de informacin debe tratarse de identificar la causa, aislar el problema,
aplicar las medidas de contencin, eliminacin y reparacin. Es por ello, que los centro
de cloud computing deben de disponer un mecanismo de gestin de incidentes claro y
conciso, capaz de poner a disposicin de la organizacin todo el procedimiento con
objeto de analizarlo y detectar las posibles implicaciones. De modo que la organizacin
pueda adaptar su "procedimiento de gestin de incidentes" al del centro de servicio, que
se sincronicen para llevar a cabo un actuacin adecuada en cuanto al incidente, y la
organizacin conozca las implicaciones en la privacidad y la seguridad que un posterior
anlisis forense pudiera ocasionar. Hay que tener en cuenta que el "centro de servicios"
puede sufrir un incidente de seguridad que afecte a otros clientes, e indirectamente
implique un riesgo para la seguridad de los datos de la organizacin.

Por ultimo, la gua proporciona un cuadro resumen con las "directrices" y

"recomendaciones" claves para proteger la Seguridad y Privacidad de los datos.