Seguretat de còmput en el núvol

La Seguretat de còmput al núvol fa referència a tots aquells aspectes que tenen a veure amb la ciberseguretat a l’hora de l’ús del cloud computing. Aquests aspectes engloben tants els que són a nivell d’usuari, com a nivell d’empreses que fan ús dels serveis de còmput en el núvol,^[1] com de les empreses que n’ofereixen el servei. També fa referència a totes les accions legislatives i de difusió que les administracions públiques realitzen per salvaguardar la seguretat de qualsevol usuari, la seva privacitat i la seva protecció de dades.

Claus per la seguretat

Tipus de núvol

Es poden identificar tres tipus de núvol:^[2]

Privat: el que està instal·lat a l'espai físic de l'usuari.
Públic: el que està instal·lat en un prestador de serveis en el núvol.
Híbrid: el que combina núvol privat i públic.

Tipus de controls de seguretat en el núvol

Podem identificar quatre tipus de control de seguretat en el núvol:^[3]

Dissuasius: per evitar que els atacants actuïn.
Preventius: que s'ocupen de prevenir que els atacs siguin efectius.
Controls de detecció: comproven si els controls anteriors, tant dissuasius com preventius, són suficients.
Correctius: resolen els problemes quan tots els controls previs han fallat.

Classificació dels serveis al núvol

El còmput en el núvol ofereix diferents serveis als usuaris. El servei SaaS (Software as a Service) és un tipus de servei que contempla tot aquell programari i aplicacions que els usuaris utilitzen directament al núvol. El servei IaaS (Infrastructure as a Service) entén el servei com a infraestructura, i proporciona als usuaris un maquinari virtual o físic on instal·lar qualsevol sistema operatiu o programari. El servei PaaS (Platform as a service) són maquinaris preinstal·lats amb un sistema operatiu preparat perquè l'usuari pugui instal·lar aplicacions.^[2] Els serveis en el núvol poden oferir diferents opcions als usuaris.^[4]

Emmagatzematge: per emmagatzemar informació.
Càlcul: per processar informació.
Virtualització: per substituir equipament físic per virtual, permet l'ús en qualsevol indret i en qualsevol dispositiu que suporti aquest tipus de connexions.
Aplicacions: són aplicacions que s'executen en el núvol on també s'acostuma a emmagatzemar la informació amb la que treballen.
Control-interacció: recol·lecció de dades de salut o seguretat mitjançant tecnologies de recollida de dades tal com el reconeixement facial, el reconeixement de la parla o la biometria.

Tipus d'informàtica

Actualment hi ha dues gran tendències d'investigació i desenvolupament de la computació o informàtica:

Computació Convencional: basada en bits^[5] segons la física binària, on el pas de corrent elèctrica equival al valor 1 i l'absència al valor 0, sempre en un dels dos estats.
Computació Quàntica: basada en qubits,^[6] segons la física quàntica i es basa en la combinació dels valors 0 i 1, a la vegada.^[7] Es basa en els principis de la superposició, entrellaçament i la interferència.^[8] Té especials aplicacions en seguretat, donat que comportat certs riscs però també suposa avenços en l'encriptació de dades, com el nou sistema Quantum Key Distribution (QKD).^[9] I en el futur es podria encarregar de resoldre temàtiques més complexes que la informàtica convencional.

Amenaces

Les fallades de seguretat poden ser originades per errades humanes o per atacs informàtics.^[10] Els atacs informàtics poden classificar-se en dues grans categories. Un primer grup són els que fan referència a alterar, esborrar o sostreure informació. I un segon grup anomenat DDoS que denega el servei, ja sigui per sobrecàrrega del servei o per l'aprofitament que els delinqüents informàtics fan de les vulnerabilitats del sistema.^[11]^[12] Una altra tipus d'amenaça a la seguretat és la relacionada amb catàstrofes naturals o accidents catastròfics que provoquen una pèrdua de serveis.

Estratègies i protocols de seguretat i protecció

Per mantenir una mínima seguretat en l'accés als serveis al núvol cal prevenir els possibles perills mantenint de forma regular tota la instal·lació i disposar d'un pla de contingència.^[1] Després d'instal·lar l'equip cal assegurar tot el sistema amb actualitzacions, tallafocs, còpies de seguretat i antivirus. També cal monitorar amb els registres de sistema (logs) o programes especialitzats que el funcionament és el correcte i revisar la informació de vulnerabilitats, en registres com CVE,^[13] i actualitzacions disponibles per tal de esmenar-les el més aviat possible. I així reiniciar el procés fins que l'equipament deixi de complir els requisits de seguretat i usabilitat i calgui substituir-lo per un altre que els compleixi.

Garanties de seguretat de les empreses

La iniciativa privada dedica esforços -mitjançant empreses i fundacions de seguretat- en prevenir i auditar la seguretat d'altres empreses i facilitar eines i recursos que els ha de permetre mantenir i reforçar la seva exposició davant de vulnerabilitats que facilitarien intrusions malicioses als seus sistemes tecnològics.^[14] A nivell internacional, un cas concret és el de Qualys, que disposa d'informes públics amb informació tècnica d'atacs.^[15] Un altre cas exemplar és el de la Internet Security Research Group (ISRG) que va crear una autoritat de certificació, que emet certificats de seguretat web gratuïts, per tal de facilitar que totes les webs i d'altres serveis disposin d'encriptació amb l'objectiu d'evitar fugues d'informació.^[16]

Garanties de seguretat de les administracions

Les administracions han de vetllar per la seguretat de les persones i les empreses en l'ús de la informació en el núvol. En aquest sentit s'han legislat normatives de diversos àmbits, que regulen les pràctiques i estableixen uns límits^[17] i s'han creat organismes públics per promoure les bones pràctiques. A Europa, l'organisme encarregat és l'Agència Europea de la Ciberseguretat (ENISA), a l'Estat espanyol es va crear l'Instituto Nacional de Ciberseguridad (INCIBE) i a l'àmbit català hi ha l'Agència de Ciberseguretat de Catalunya i també Internet segura.

Publicacions

Cattedu, Daniele; Hobgen, Giles. «Beneficios, riesgos y recomendaciones para la seguridad de la información» (en espanyol). Agencia Europea de Seguridad de las Redes y de la Información (ENISA), 01-10-2009. [Consulta: 24 octubre 2021].
Informe de Amenazas y Tendencias. «Informe de Amenazas y Tendencias. Edición 2019» (en espanyol). Centro Criptológico Nacional. [Consulta: 24 octubre 2021].
Martí, Carles; Sala, Xavier. «Llenguatges de marques i sistemes de gestió d'informació.Sistemes de gestió empresarial. Informàtica en núvol». Institut Obert de Catalunya. [Consulta: 27 octubre 2021].

Referències

↑ ^1,0 ^1,1 «Protegeix-te del Programari Maliciós». Internet Segura. [Consulta: 21 octubre 2021].
↑ ^2,0 ^2,1 Guia serveis al núvol. «Guía para clientes que contraten servicios de Cloud Computing» (en castellà). Agencia Española de protección de datos. Arxivat de l'original el 30 de juny 2021. [Consulta: 24 octubre 2021].
↑ Krutz, Ronald L.; VINE, Russel Dean. Cloud Security: A Comprehensive Guide to Secure Cloud Computing (en anglès). Indianapolis: Wiley, 2010. ISBN 978-0-470-93894-2 [Consulta: 21 octubre 2021].
↑ «Llenguatges de marques i sistemes de gestió d'informació.Sistemes de gestió empresarial. Informàtica en núvol». Institut Obert de Catalunya. [Consulta: 27 octubre 2021].
↑ «Definició bit». Termcat, Centre de terminologia. [Consulta: 30 octubre 2021].
↑ «Definició bit quàntic». www.termcat.cat. [Consulta: 30 octubre 2021].
↑ «¿Qué es y cómo funciona la computación cuántica?» (Vídeo) (en castellà). Universitat Politècnica de València, 13 febrer. [Consulta: 30 octubre 2021].
↑ «Quantum Computing Expert Explains One Concept in 5 Levels of Difficulty» (Vídeo) (en anglès). WIRED, 25 juny. [Consulta: 30 octubre 2021].
↑ «La computación cuántica y las supercomputadoras que revolucionarán la tecnología». Iberdrola. [Consulta: 21 octubre 2021].
↑ «Com treballar al núvol amb seguretat». Internet segura. [Consulta: 21 octubre 2021].
↑ «Informe de Amenazas y Tendencias. Edición 2019». Centro Criptológico Nacional. [Consulta: 24 octubre 2021].
↑ «Beneficios, riesgos y recomendaciones para la seguridad de la información» (en espanyol). Agencia Europea de Seguridad de las Redes y de la Información (ENISA). [Consulta: 24 octubre 2021].
↑ «Common Vulnerabilities and Exposures (CVE)» (en anglès). [Consulta: 30 octubre 2021].
↑ «Empresas Certificadas en el ENS» (en castellà). Centro Criptológico Nacional (CCN). Arxivat de l'original el 2021-10-30. [Consulta: 30 octubre 2021].
↑ «SSL Pulse». Qualys. [Consulta: 21 octubre 2021].
↑ «Let’s Encrypt». Internet Security Research Group (ISRG). [Consulta: 21 octubre 2021].
↑ «Normativa». Autoritat Catalana de Protecció de Dades. [Consulta: 21 octubre 2021].

Enllaços externs

Agència de Ciberseguretat de Catalunya
Agencia de la Unión Europea para la Ciberseguridad (ENISA) (castellà)
Centro Criptológico Nacional (CCN) (castellà)
Instituto Nacional de Seguridad (INCIBE) (castellà) (anglès)

[internetsegura-1] 1,0 ^1,1 «Protegeix-te del Programari Maliciós». Internet Segura. [Consulta: 21 octubre 2021].

[ref-2] 2,0 ^2,1 Guia serveis al núvol. «Guía para clientes que contraten servicios de Cloud Computing» (en castellà). Agencia Española de protección de datos. Arxivat de l'original el 30 de juny 2021. [Consulta: 24 octubre 2021].

[3] Krutz, Ronald L.; VINE, Russel Dean. Cloud Security: A Comprehensive Guide to Secure Cloud Computing (en anglès). Indianapolis: Wiley, 2010. ISBN 978-0-470-93894-2 [Consulta: 21 octubre 2021].

[4] «Llenguatges de marques i sistemes de gestió d'informació.Sistemes de gestió empresarial. Informàtica en núvol». Institut Obert de Catalunya. [Consulta: 27 octubre 2021].

[5] «Definició bit». Termcat, Centre de terminologia. [Consulta: 30 octubre 2021].

[6] «Definició bit quàntic». www.termcat.cat. [Consulta: 30 octubre 2021].

[7] «¿Qué es y cómo funciona la computación cuántica?» (Vídeo) (en castellà). Universitat Politècnica de València, 13 febrer. [Consulta: 30 octubre 2021].

[8] «Quantum Computing Expert Explains One Concept in 5 Levels of Difficulty» (Vídeo) (en anglès). WIRED, 25 juny. [Consulta: 30 octubre 2021].

[9] «La computación cuántica y las supercomputadoras que revolucionarán la tecnología». Iberdrola. [Consulta: 21 octubre 2021].

[10] «Com treballar al núvol amb seguretat». Internet segura. [Consulta: 21 octubre 2021].

[11] «Informe de Amenazas y Tendencias. Edición 2019». Centro Criptológico Nacional. [Consulta: 24 octubre 2021].

[12] «Beneficios, riesgos y recomendaciones para la seguridad de la información» (en espanyol). Agencia Europea de Seguridad de las Redes y de la Información (ENISA). [Consulta: 24 octubre 2021].

[13] «Common Vulnerabilities and Exposures (CVE)» (en anglès). [Consulta: 30 octubre 2021].

[14] «Empresas Certificadas en el ENS» (en castellà). Centro Criptológico Nacional (CCN). Arxivat de l'original el 2021-10-30. [Consulta: 30 octubre 2021].

[15] «SSL Pulse». Qualys. [Consulta: 21 octubre 2021].

[16] «Let’s Encrypt». Internet Security Research Group (ISRG). [Consulta: 21 octubre 2021].

[17] «Normativa». Autoritat Catalana de Protecció de Dades. [Consulta: 21 octubre 2021].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]