Para finalizar este recorrido por la seguridad en Cloud Computing, se comentarán las principales amenazas de seguridad que puede sufrir un usuario en la nube según el documento creado por la CSA (Cloud Security Alliance).

Uso malicioso de la nube

Muchos proveedores de la nube ofrecen a sus clientes una oportunidad de prueba gratuita de los servicios que ofertan (IaaS o PaaS). Pese a que para acceder a dichas pruebas es necesario un registro y una tarjeta de crédito válida, se puede abusar del relativo anonimato que este tipo de registro ofrece, usando datos falsos y una tarjeta de crédito robada (o incluso generada).

Una vez hecho esto, ya existe una plataforma para realizar actividades maliciosas con relativa impunidad. Este tipo de actividades incluyen DDOS (denegaciones de servicio), cracking de contraseñas, almacenar virus o troyanos para infectar a posibles victimas de ingeniería social o phising, control de bots, etc.

Interfaces y APIs inseguros

Los proveedores de Cloud Computing proporcionan a los clientes un interfaz de gestión o API para gestionar e interactuar con los servicios en la nube que contratan. Por tanto, la seguridad de la plataforma en la nube depende de que dichos interfaces de software sean seguros. Si existe algún tipo de vulnerabilidad en la autenticación tipo SQL Injection, XSS o robo de cookies, toda la plataforma puede verse comprometida, pese a que, la seguridad de los sistemas operativos y aplicativos web estén actualizados al día y libres de vulnerabilidades.

Insiders maliciosos

La amenaza de un ataque por parte de un trabajador dentro de una organización es un riesgo conocido por muchas organizaciones. Para los consumidores de los servicios de la nube ese riesgo es aún mayor debido a que dichos empleados pueden tener acceso a los activos físicos o virtuales que una organización o varias han contratado para gestionar desde la nube.

Ésto se puede complicar, ya que el proveedor de servicios en la nube no revela las normas y prácticas de sus propios empleados para los servicios que ofrece en la nube, ni la forma en que pueden acceder a la información de las empresas contratadas, ni cómo se analizan los riesgos o cómo se cumplen las políticas de seguridad. Por tanto, este tipo de situación crea una oportunidad atractiva para un adversario, desde el hacker aficionado hasta el crimen organizado o el espionaje corporativo.

Problemas con la tecnología compartida (virtualizada)

Los proveedores de IaaS ofrecen sus servicios de forma escalable compartiendo una infraestructura física. Los componentes físicos (CPU, GPU, etc) de dicha infraestructura, generalmente, no han sido diseñados para ofrecer propiedades de aislamiento suficientes en una infraestructura virtualizada compartiendo un hardware único y, por tanto, usan un hipervisor como intermediario entre los recursos físicos y los virtualizados.

El problema aparece cuando se detectan vulnerabilidades en dicho hipervisor, que podría provocar que los sistemas operativos virtualizados obtengan privilegios inapropiados o control sobre la plataforma base. Por tanto, se debe asegurar una fuerte compartimentación para que los clientes individuales no impacten sobre el rendimiento de otros clientes con sus aplicaciones en el mismo proveedor de servicios en la nube. Ésto también implica que no se pueda ver trafico de red entre distintos usuarios del cloud, datos residuales, etc.

Pérdida o fuga de datos

Existen muchas formas de comprometer los datos, como por ejemplo: el borrado o alteración de los registros sin una copia de seguridad del contenido original o la pérdida de una clave de cifrado, que imposibilitaría acceder a su contenido. Para evitar una fuga de datos es necesario prohibir el acceso de terceros a información sensible.

Dicho riesgo se aumenta al usar la nube ya que las organizaciones no tienen acceso directo al hardware físico donde residen sus datos. Por tanto, la restauración de información desde una copia de seguridad o la recuperación de datos borrados accidentalmente se complica con relación a un alojamiento tradicional en un CPD propio.

Hijacking (secuestro) de cuentas o servicios

Este tipo de técnicas para el secuestro de cuentas o servicios no son nuevas. Tenemos ejemplos como el phising, el fraude y explotación de vulnerabilidades de software, de vez en cuando en las noticias. Gracias a que a veces las contraseñas se vuelven a usar en otros servicios, el impacto de dichos ataques es mayor si cabe.

En la nube, este tipo de ataques tienen una gran repercusión. Si un atacante tiene acceso a las credenciales de los sistemas contratados en la nube, pueden espiar las actividades realizadas de la empresa objetivo sin levantar sospecha o manipular información de los sistemas. Incluso se podría usar la plataforma vulnerada para realizar ataques a terceros, tipo DDOS.

Perfil de riesgo desconocido

Una de las ventajas del Cloud Computing es la reducción de la necesidad de compra de hardware y software y, por tanto, se reducen los costes de mantenimiento. Pese a que esto es una clara ventaja financiera, debe ser contrastada con los problemas de seguridad que conlleva la nube: actualizaciones de software, metodologías de buenas prácticas, intentos de intrusión, tanto por externos como por vecinos en la nube, facilidad de consultar los logs, operaciones de recuperación de datos, son factores que se deben evaluar para decidir alojar servicios de una empresa en la nube en vez de un sistema tradicional hardware en un CPD.

Si no se conoce ni se controla la seguridad del lugar donde están alojados los datos de la empresa en la nube, lo que se denomina la seguridad por desconocimiento (security by obscurity) puede resultar en riesgos desconocidos y, por tanto, no se puede crear un plan de contingencia para los mismos.

Imagen | Akakumo

Referencias| https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf