19 Cloud Computing

19 Cloud Computing

Nota importada desde Inbox durante consolidacion bulk.

19 Cloud Computing

1. Resumen Ejecutivo

El siguiente documento ofrece un análisis exhaustivo de la computación en la nube, una tecnología emergente que provee servicios informáticos a través de internet. Se exploran sus beneficios, como la reducción de costos y la habilitación de una fuerza de trabajo distribuida, así como los riesgos y amenazas inherentes que las organizaciones deben gestionar. Este resumen aborda los conceptos fundamentales de la nube, incluyendo sus modelos de servicio y despliegue; detalla las principales amenazas y vulnerabilidades, como las brechas de datos y los ataques a las APIs; describe las técnicas de hacking utilizadas por los atacantes; y finalmente, presenta un conjunto de contramedidas y herramientas para proteger la infraestructura en la nube, garantizando su seguridad y resiliencia.

2. Conceptos de Computación en la Nube

La computación en la nube es un modelo que permite la entrega bajo demanda de capacidades de TI, donde la infraestructura y las aplicaciones se proporcionan a los suscriptores como un servicio medido a través de una red.

  • Características Clave
    • Autoservicio bajo demanda: Permite a los usuarios aprovisionar recursos como capacidad de cómputo y almacenamiento sin interacción humana con el proveedor.
    • Amplio acceso a la red: Los recursos están disponibles a través de la red y se acceden mediante mecanismos estándar desde diversas plataformas (laptops, móviles, etc.).
    • Agrupación de recursos (Resource Pooling): El proveedor agrupa sus recursos computacionales para servir a múltiples clientes en un entorno multi-inquilino (multi-tenant).
    • Rápida elasticidad: Las capacidades pueden ser aprovisionadas y liberadas elásticamente, en algunos casos automáticamente, para escalar rápidamente según la demanda.
    • Servicio medido: Los sistemas en la nube controlan y optimizan automáticamente el uso de recursos mediante una capacidad de medición, basándose en un modelo de "pago por uso".
    • Virtualización: La tecnología de virtualización es un pilar fundamental que permite la rápida escalabilidad de los recursos.
  • Modelos de Servicio
    • Infraestructura como Servicio (IaaS): Proporciona recursos informáticos fundamentales bajo demanda, como cómputo, almacenamiento y redes. El suscriptor gestiona los sistemas operativos y las aplicaciones. Ejemplos incluyen Amazon EC2 y Microsoft OneDrive.
    • Plataforma como Servicio (PaaS): Ofrece herramientas de desarrollo, gestión de configuración y plataformas de despliegue para que los suscriptores creen aplicaciones personalizadas. El proveedor gestiona la infraestructura subyacente. Ejemplos son Google App Engine y Microsoft Azure.
    • Software como Servicio (SaaS): Proporciona software de aplicación a los suscriptores bajo demanda a través de internet. El proveedor gestiona toda la pila tecnológica. Ejemplos incluyen Google Docs y Salesforce CRM.
    • Otros modelos "como servicio": El documento también describe modelos especializados como Identidad (IDaaS) , Seguridad (SECaaS) , Contenedores (CaaS) , Funciones (FaaS) y "Cualquier cosa" (XaaS).
  • Modelos de Implementación
    • Nube Pública: La infraestructura está disponible para el público general y es propiedad de un proveedor de servicios en la nube.
    • Nube Privada: La infraestructura es operada exclusivamente para una sola organización, ya sea de forma interna o por un tercero.
    • Nube Comunitaria: La infraestructura es compartida por varias organizaciones de una comunidad específica con preocupaciones comunes (ej. seguridad, cumplimiento).
    • Nube Híbrida: Es una composición de dos o más modelos de nube (privada, comunitaria o pública) que permanecen como entidades únicas pero están unidas.

3. Técnicas de Hacking en la Nube

Los atacantes explotan vulnerabilidades en las tecnologías de la nube para realizar ataques de alto perfil contra sistemas de almacenamiento, comprometiendo datos corporativos y de clientes.

  • Service Hijacking (Secuestro de Servicio)
    • Usando Ingeniería Social: Un atacante utiliza técnicas no técnicas como el phishing para engañar al personal de TI o a los usuarios para que revelen sus contraseñas o credenciales de acceso a los servicios en la nube.
    • Usando Network Sniffing: Implica la intercepción y monitorización del tráfico de red entre dos nodos de la nube. Los atacantes utilizan sniffers de paquetes para capturar datos sensibles como contraseñas y cookies de sesión si no están cifrados.
  • Ataques Side-Channel o Cross-guest VM Breaches
    • El atacante compromete la nube colocando una máquina virtual (VM) maliciosa cerca de una VM objetivo en el mismo host físico. A través de este co-residente, el atacante lanza ataques de canal lateral (como análisis de tiempo, remanencia de datos, criptoanálisis acústico) para extraer claves criptográficas y otras credenciales de la víctima.
  • Wrapping Attack
    • Este ataque se realiza durante la traducción del mensaje SOAP en la capa TLS, donde los atacantes duplican el cuerpo del mensaje y lo envían al servidor como un usuario legítimo. El adversario puede interceptar y modificar el mensaje, inyectando un encabezado malicioso para interrumpir el funcionamiento normal de los servidores en la nube.
  • Man-in-the-Cloud (MITC) Attack
    • Es una forma avanzada de ataque Man-in-the-Middle (MITM). El atacante engaña a la víctima para que instale un código malicioso que coloca el token de sincronización del atacante en la unidad de la víctima (ej. Dropbox, Google Drive). El atacante roba este token para obtener acceso a los archivos de la víctima y puede restaurar el token original para que el ataque permane-zca sin ser detectado.
  • Cloud Hopper Attack
    • Estos ataques se dirigen a los proveedores de servicios gestionados (MSPs) y a sus clientes. Una vez que el ataque tiene éxito, los atacantes obtienen acceso remoto a la propiedad intelectual y a los datos críticos de los clientes globales del MSP. Utilizan spear-phishing y malware para comprometer las cuentas de los MSPs.
  • Cryptojacking en la Nube
    • Consiste en el uso no autorizado de la computadora de una víctima para minar sigilosamente monedas digitales. Los atacantes aprovechan vectores como configuraciones erróneas de la nube, sitios web comprometidos y vulnerabilidades del lado del cliente o del servidor para ejecutar scripts de minería.
  • Cloudborne Attack
    • Es una vulnerabilidad que reside en un servidor bare-metal que permite a los atacantes implantar un backdoor malicioso en su firmware. Este backdoor puede persistir incluso si el servidor se reasigna a un nuevo cliente, permitiendo a los atacantes acceder al hardware, eludir los mecanismos de seguridad y monitorear las actividades del nuevo cliente.
  • Ataque al Instance Metadata Service (IMDS)
    • Los atacantes explotan una vulnerabilidad de día cero o un proxy inverso mal implementado en el servidor de aplicaciones objetivo para comprometer la instancia de la nube y acceder a su metadata, que incluye credenciales y roles. Con esta información, pueden acceder a otros recursos ubicados en el almacenamiento en la nube.

4. Herramientas de Hacking en la Nube

El documento menciona varias categorías de herramientas utilizadas para identificar y explotar vulnerabilidades en entornos de nube.

  • Escáneres de Vulnerabilidades de Contenedores
    • Trivy: Herramienta automatizada para realizar escaneos de vulnerabilidades en imágenes de contenedores, detectando vulnerabilidades en paquetes de SO y dependencias de aplicaciones.
    • Clair y Dadga: Otras herramientas mencionadas para escanear y identificar vulnerabilidades en los contenedores.
  • Escáneres de Vulnerabilidades de Kubernetes
    • Sysdig: Identifica vulnerabilidades de Kubernetes mediante la integración con CI/CD, registros de imágenes y controladores de admisión de Kubernetes.
    • kube-hunter, Kube-Scan, Kubesec: Herramientas adicionales para encontrar errores de configuración y vulnerabilidades en clústeres de Kubernetes.
  • Herramientas de Enumeración de S3 Buckets
    • OWASP Amass, Robtex: Se utilizan para encontrar subdominios relacionados con un bucket objetivo.
    • Burp Suite (Intruder): Puede ser utilizado para realizar ataques de fuerza bruta y adivinar la URL correcta de un bucket.
    • Buscadores (Bing, Google): Se usan con operadores de búsqueda avanzada (ej. inurl: s3.amazonaws.com) para encontrar URLs de buckets.

5. Contramedidas de Hacking en la Nube

Para mitigar los riesgos asociados a la computación en la nube, es fundamental implementar una estrategia de defensa en profundidad.

  • Defensa General contra el Hacking en la Nube
    • Cifrado de Datos: Cifrar los datos tanto en reposo como en tránsito para proteger su integridad y confidencialidad.
    • Gestión de Acceso: Implementar autenticación multifactor (MFA) robusta y seguir el principio de mínimo privilegio.
    • Políticas de Seguridad: Establecer y hacer cumplir políticas de seguridad estrictas, clasificando los datos según su sensibilidad.
    • Auditoría y Monitoreo: Realizar auditorías y monitoreo regulares de las cuentas privilegiadas y el tráfico de red para detectar actividades maliciosas.
    • Seguridad de Red: Desplegar firewalls perimetrales, micro-segmentación y brokers de seguridad de acceso a la nube (CASBs) para restringir el acceso y filtrar el tráfico.
  • Defensa contra Service Hijacking
    • No compartir credenciales entre usuarios y servicios.
    • Implementar autenticación de dos factores siempre que sea posible.
    • Capacitar al personal para que reconozca los ataques de ingeniería social.
  • Defensa contra Network Sniffing
    • Cifrar los datos sensibles que se transmiten por la red.
    • Asegurarse de que todo el tráfico web que contiene credenciales esté cifrado con SSL/TLS.
    • Detectar controladores de interfaz de red (NICs) que se ejecutan en modo promiscuo.
  • Defensa contra Ataques Side-Channel
    • Implementar un firewall virtual en el backend del servidor en la nube.
    • Utilizar cifrado y descifrado aleatorio (ej. RSA, 3DES, AES).
    • Bloquear las imágenes del sistema operativo y las instancias de aplicación para evitar que los vectores comprometan el acceso.
  • Defensa contra Wrapping Attack
    • Utilizar la validación de esquemas XML para detectar mensajes SOAP malformados.
    • Aplicar cifrado autenticado en la especificación de cifrado XML.
    • Asegurarse de que los usuarios especifiquen el cuerpo y los encabezados del SOAP implementando la política WS-SecurityPolicy "SignedParts".

6. Técnicas de Detección de Hacking en la Nube

La detección proactiva es clave para identificar y responder a las amenazas antes de que causen un daño significativo.

  • Análisis de Logs y Monitoreo Continuo
    • El monitoreo regular de los logs de seguridad y operacionales es fundamental. La pérdida o falta de sincronización de logs es una amenaza grave, ya que impide analizar actividades maliciosas. La monitorización ayuda a detectar cambios no autorizados, tráfico sospechoso y comportamientos anómalos de los usuarios.
  • Uso de Sistemas IDS/IPS
    • El despliegue de sistemas de detección y prevención de intrusiones (IDS/IPS) es una contramedida eficaz para mitigar ataques conocidos a nivel de VM y para detectar sondeos o escaneos maliciosos en la red.
  • Análisis del Tráfico de Red
    • La implementación de un monitoreo y análisis de red riguroso permite identificar anomalías, como las causadas por la modificación del tráfico o la comunicación con C&C de botnets. Es crucial para detectar APIs inseguras y comunicaciones no cifradas.
  • Escaneo de Vulnerabilidades y Auditorías de Configuración
    • Realizar escaneos de vulnerabilidades y auditorías de configuración de manera periódica ayuda a identificar debilidades en la infraestructura compartida, como componentes de SO sin parches o configuraciones inseguras, antes de que sean explotadas.

7. Conclusión

La computación en la nube representa una transformación fundamental en la provisión de servicios de TI, ofreciendo una agilidad y eficiencia sin precedentes. Sin embargo, esta adopción masiva introduce un panorama de amenazas complejo, desde brechas de datos y secuestro de servicios hasta ataques sofisticados como los de canal lateral y Cloudborne. Para las organizaciones, es imperativo comprender a fondo estos riesgos, que abarcan vulnerabilidades en contenedores, configuraciones erróneas en Kubernetes y vectores de ataque específicos. La aplicación rigurosa de contramedidas como el cifrado de extremo a extremo, la autenticación multifactor, el escaneo continuo de vulnerabilidades y las técnicas de detección proactiva no es opcional, sino un requisito indispensable para asegurar la infraestructura en la nube y proteger los activos de información críticos en este nuevo paradigma digital.

Guía de Estudio: Seguridad en Cloud Computing

Introducción

Esta guía de estudio proporciona un análisis estructurado y completo de los principios fundamentales de la seguridad en el entorno de Cloud Computing. Su propósito es servir como un recurso educativo para estudiantes y profesionales que deseen comprender, evaluar y mitigar las amenazas y vulnerabilidades inherentes a las infraestructuras en la nube. Se cubrirán los modelos de servicio y despliegue, las amenazas más comunes, las contramedidas efectivas y las mejores prácticas para garantizar la confidencialidad, integridad y disponibilidad de los datos y aplicaciones en la nube.

I. Resumen de Conceptos Fundamentales

  • Cloud Computing (Computación en la Nube): Es un modelo que permite el acceso bajo demanda a través de la red a un conjunto compartido de recursos computacionales configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios.
  • Modelos de Servicio:
    • Infraestructura como Servicio (IaaS): Proporciona recursos de computación virtualizados a través de internet. El cliente gestiona el sistema operativo, las aplicaciones y los datos, mientras que el proveedor gestiona la infraestructura subyacente (servidores, redes, almacenamiento).
      • Ejemplos: Amazon Web Services (AWS) EC2, Microsoft Azure Virtual Machines.
    • Plataforma como Servicio (PaaS): Ofrece un entorno de desarrollo y despliegue en la nube. El proveedor gestiona la infraestructura y el sistema operativo, permitiendo a los desarrolladores centrarse en la creación de aplicaciones.
      • Ejemplos: Google App Engine, Heroku.
    • Software como Servicio (SaaS): Proporciona software listo para usar, accesible a través de un navegador web. El proveedor gestiona toda la pila tecnológica, desde la infraestructura hasta la aplicación.
      • Ejemplos: Salesforce, Google Workspace, Microsoft 365.
  • Modelos de Despliegue:
    • Nube Pública: La infraestructura es propiedad de un proveedor de servicios en la nube y se comparte entre múltiples organizaciones (multi-tenancy).
    • Nube Privada: La infraestructura es de uso exclusivo para una sola organización. Puede ser gestionada internamente o por un tercero y estar alojada en las instalaciones o fuera de ellas.
    • Nube Híbrida: Combina nubes públicas y privadas, permitiendo que los datos y las aplicaciones se muevan entre ellas. Ofrece mayor flexibilidad y opciones de despliegue.
    • Nube Comunitaria: La infraestructura es compartida por varias organizaciones con intereses comunes (por ejemplo, seguridad, cumplimiento normativo).
  • Modelo de Responsabilidad Compartida: Un principio fundamental en la seguridad de la nube que delinea las obligaciones de seguridad del proveedor de la nube y del cliente.
    • El proveedor es responsable de la "seguridad de la nube" (infraestructura física, redes, hipervisor).
    • El cliente es responsable de la "seguridad en la nube" (datos, configuración de acceso, gestión de identidades, seguridad de las aplicaciones).

II. Técnicas / Métodos / Procesos Clave

  • Gestión de Identidad y Acceso (IAM):
    • Propósito: Asegurar que solo los usuarios y servicios autorizados tengan acceso a los recursos apropiados.
    • Funcionamiento: Se basa en la autenticación (verificar la identidad) y la autorización (conceder permisos). Incluye la creación de roles, políticas de acceso y la aplicación del Principio de Mínimo Privilegio, que dicta que a un usuario solo se le deben otorgar los permisos necesarios para realizar sus tareas.
    • Variantes: Autenticación Multifactor (MFA), Single Sign-On (SSO).
  • Cifrado de Datos:
    • Propósito: Proteger la confidencialidad de los datos haciéndolos ilegibles sin la clave de descifrado correcta.
    • Funcionamiento: Se aplica tanto a los datos en reposo (almacenados en discos o bases de datos) como a los datos en tránsito (mientras se mueven a través de la red). Se utilizan algoritmos de cifrado robustos como AES-256.
    • Proceso Clave: La gestión segura de las claves de cifrado es crucial. Servicios como AWS Key Management Service (KMS) o Azure Key Vault ayudan a crear y controlar las claves.
  • Seguridad de la Red en la Nube:
    • Propósito: Aislar y proteger los recursos de la red contra accesos no autorizados y ataques.
    • Técnicas:
      • Virtual Private Cloud (VPC) / Virtual Network (VNet): Crean una sección lógicamente aislada de la nube pública donde se pueden lanzar recursos en una red virtual definida.
      • Grupos de Seguridad y Listas de Control de Acceso (ACLs): Actúan como firewalls virtuales para controlar el tráfico entrante y saliente a nivel de instancia y de subred.
      • Segmentación de Red: Dividir la red en subredes para limitar la propagación de ataques en caso de una brecha.

III. Herramientas / Recursos / Ejemplos Notables

  • Cloud Access Security Broker (CASB):
    • Descripción: Puntos de control de políticas de seguridad que se sitúan entre los consumidores de servicios en la nube y los proveedores de servicios. Ofrecen visibilidad, cumplimiento, seguridad de datos y protección contra amenazas.
    • Ejemplos: Netskope, McAfee MVISION Cloud, Microsoft Defender for Cloud Apps.
  • Security Information and Event Management (SIEM):
    • Descripción: Herramientas que recopilan y analizan datos de registro de múltiples fuentes para detectar, alertar e investigar actividades sospechosas y brechas de seguridad en tiempo real.
    • Ejemplos: Splunk, IBM QRadar, Azure Sentinel.
  • Servicios de Seguridad Nativos de los Proveedores:
    • AWS: AWS Shield (protección DDoS), AWS WAF (Web Application Firewall), Amazon GuardDuty (detección de amenazas), AWS Identity and Access Management (IAM).
    • Microsoft Azure: Azure DDoS Protection, Azure Web Application Firewall, Microsoft Defender for Cloud, Azure Active Directory (Azure AD).
    • Google Cloud: Cloud Armor (protección DDoS y WAF), Security Command Center (gestión de seguridad y riesgos), Cloud Identity and Access Management (IAM).

IV. Contramedidas / Soluciones / Buenas Prácticas

  • Mitigación de Fugas de Datos (Data Breaches):
    • Solución: Implementar una estrategia de defensa en profundidad.
      • Cifrar todos los datos sensibles, tanto en reposo como en tránsito.
      • Utilizar IAM con políticas de mínimo privilegio y MFA obligatoria.
      • Configurar correctamente los permisos de almacenamiento (ej. buckets de S3) para evitar la exposición pública accidental.
      • Realizar auditorías y monitoreo continuo de acceso a datos.
  • Protección contra APIs e Interfaces Inseguras:
    • Solución: Asegurar el ciclo de vida de las APIs.
      • Implementar autenticación y autorización robustas para todas las llamadas a la API.
      • Utilizar puertas de enlace de API (API Gateways) para gestionar y proteger el acceso.
      • Validar y sanear todas las entradas para prevenir ataques de inyección.
      • Limitar la tasa de peticiones (rate limiting) para prevenir abusos y ataques de denegación de servicio.
  • Prevención del Secuestro de Cuentas (Account Hijacking):
    • Solución: Fortalecer los controles de autenticación y monitorear la actividad de las cuentas.
      • Exigir el uso de contraseñas complejas y rotarlas periódicamente.
      • Implementar Autenticación Multifactor (MFA) en todas las cuentas, especialmente en las de administrador.
      • Monitorear los registros de inicio de sesión en busca de actividades anómalas (ej. accesos desde ubicaciones geográficas inusuales).
      • Educar a los usuarios sobre los riesgos del phishing y la ingeniería social.

V. Resumen del Módulo

La seguridad en Cloud Computing es una responsabilidad compartida que exige una comprensión clara de los modelos de servicio, las amenazas inherentes y las herramientas disponibles. Una estrategia de seguridad eficaz se basa en la implementación de controles robustos de gestión de identidad y acceso, el cifrado sistemático de datos, la configuración segura de la red y el monitoreo continuo. Al adoptar buenas prácticas y utilizar las herramientas adecuadas, las organizaciones pueden aprovechar los beneficios de la nube mientras gestionan proactivamente los riesgos de seguridad.

Cuestionario de Preguntas Cortas

Responde cada pregunta en 2-3 oraciones.

  1. ¿Qué es el modelo de responsabilidad compartida en Cloud Computing?
  2. Diferencia entre IaaS, PaaS y SaaS desde la perspectiva de la gestión de seguridad del cliente.
  3. ¿Cuál es el propósito principal de un Grupo de Seguridad en un entorno de nube como AWS?
  4. ¿Por qué es crucial el cifrado de datos en tránsito en la nube?
  5. ¿Qué es el "Principio de Mínimo Privilegio" y por qué es importante para la seguridad en la nube?
  6. Describe la función de un Cloud Access Security Broker (CASB).
  7. ¿Cómo ayuda la Autenticación Multifactor (MFA) a prevenir el secuestro de cuentas?
  8. Menciona dos amenazas comunes asociadas a las APIs en la nube.
  9. ¿Qué es una Virtual Private Cloud (VPC) y qué beneficio de seguridad proporciona?
  10. ¿Por qué la mala configuración de los servicios de almacenamiento en la nube (como los buckets de S3) es un riesgo de seguridad tan significativo?

Clave de Respuestas del Cuestionario

  1. El modelo de responsabilidad compartida define qué aspectos de la seguridad son responsabilidad del proveedor de la nube y cuáles son del cliente. El proveedor es responsable de la seguridad de la nube (infraestructura física), mientras que el cliente es responsable de la seguridad en la nube (sus datos, accesos y configuraciones).
  2. En IaaS, el cliente tiene la mayor responsabilidad de seguridad, gestionando desde el sistema operativo hacia arriba. En PaaS, el proveedor gestiona el SO y el middleware, por lo que la responsabilidad del cliente se reduce a la aplicación y los datos. En SaaS, el proveedor gestiona casi todo, y el cliente es principalmente responsable de la gestión de usuarios y sus datos.
  3. Un Grupo de Seguridad actúa como un firewall virtual a nivel de instancia que controla el tráfico de red entrante y saliente. Permite definir reglas específicas basadas en puertos, protocolos y direcciones IP de origen/destino para proteger los recursos.
  4. El cifrado de datos en tránsito protege la información mientras viaja entre el cliente y la nube, o entre servicios dentro de la nube. Previene que atacantes que intercepten el tráfico (ataques Man-in-the-Middle) puedan leer o modificar los datos.
  5. El Principio de Mínimo Privilegio establece que a un usuario o servicio solo se le deben otorgar los permisos de acceso estrictamente necesarios para realizar su función. Esto limita el daño potencial en caso de que la cuenta sea comprometida.
  6. Un CASB es una herramienta de seguridad que actúa como intermediario entre los usuarios y los servicios en la nube para aplicar políticas de seguridad. Ofrece visibilidad sobre el uso de aplicaciones, protege contra amenazas y ayuda a garantizar el cumplimiento normativo y la seguridad de los datos.
  7. La MFA añade una capa adicional de seguridad al requerir una segunda forma de verificación además de la contraseña (ej. un código de una app, una llave física). Esto hace que sea mucho más difícil para un atacante acceder a una cuenta aunque haya robado la contraseña.
  8. Dos amenazas comunes a las APIs son la autenticación rota, que permite a atacantes eludir los controles de acceso, y la exposición de datos sensibles, donde una API devuelve más información de la necesaria. Otra amenaza es la falta de limitación de tasa (rate limiting), que puede llevar a ataques de denegación de servicio.
  9. Una VPC es una red privada y aislada lógicamente dentro de la nube pública de un proveedor. Su principal beneficio de seguridad es que permite al cliente tener control total sobre su entorno de red virtual, incluyendo la selección de rangos de IP, la creación de subredes y la configuración de tablas de enrutamiento y gateways.
  10. La mala configuración de los servicios de almacenamiento es un riesgo enorme porque a menudo contienen grandes volúmenes de datos sensibles. Un error simple, como hacer un bucket público por accidente, puede exponer instantáneamente toda esa información a cualquier persona en internet.

Preguntas de Ensayo

  1. Analiza cómo el modelo de responsabilidad compartida cambia entre IaaS, PaaS y SaaS. Proporciona ejemplos específicos de controles de seguridad que son responsabilidad del cliente en cada modelo.
  2. Compara y contrasta las estrategias de seguridad de red para una infraestructura on-premise tradicional frente a una infraestructura basada en una nube pública como AWS o Azure.
  3. Describe un escenario de ataque de secuestro de cuenta en la nube, desde el compromiso inicial hasta la exfiltración de datos. Detalla al menos tres contramedidas específicas que podrían haber prevenido o mitigado este ataque en diferentes etapas.
  4. Discute el papel de la automatización en la seguridad de la nube (DevSecOps). ¿Cómo pueden herramientas como la Infraestructura como Código (IaC) y las canalizaciones de CI/CD mejorar o debilitar la postura de seguridad de una organización?
  5. Explica los desafíos de cumplimiento y gobernanza de datos que enfrentan las organizaciones multinacionales al usar servicios de nube pública. ¿Cómo pueden abordar los problemas relacionados con la soberanía de los datos y regulaciones como el GDPR?

Glosario de Términos Clave

  • Autenticación Multifactor (MFA): Un método de seguridad que requiere que el usuario proporcione dos o más factores de verificación para acceder a un recurso.
  • API (Application Programming Interface): Un conjunto de reglas y herramientas para construir software y aplicaciones, permitiendo que diferentes sistemas se comuniquen entre sí.
  • Bucket: Un contenedor para objetos (archivos) en servicios de almacenamiento de objetos como Amazon S3.
  • Cloud Access Security Broker (CASB): Software que se sitúa entre los usuarios y las aplicaciones en la nube para hacer cumplir las políticas de seguridad.
  • Cifrado en Reposo (Encryption at Rest): El cifrado de datos que están almacenados en un dispositivo o medio de almacenamiento.
  • Cifrado en Tránsito (Encryption in Transit): El cifrado de datos que se mueven a través de una red.
  • Contenedor: Una unidad estándar de software que empaqueta el código y todas sus dependencias para que la aplicación se ejecute de forma rápida y fiable en diferentes entornos informáticos.
  • DDoS (Distributed Denial of Service): Un tipo de ciberataque que intenta hacer que un servicio en línea no esté disponible abrumándolo con tráfico de múltiples fuentes.
  • Gestión de Identidad y Acceso (IAM): El marco de políticas y tecnologías para garantizar que las personas adecuadas tengan el acceso apropiado a los recursos tecnológicos.
  • Hipervisor: Software que crea y ejecuta máquinas virtuales (VMs).
  • Infraestructura como Código (IaC): La gestión y aprovisionamiento de infraestructuras mediante código en lugar de procesos manuales.
  • Man-in-the-Middle (MitM): Un ataque en el que el atacante se interpone secretamente entre dos partes que creen estar comunicándose directamente entre sí.
  • Multi-tenancy (Multiusuario): Una arquitectura en la que una sola instancia de una aplicación de software sirve a múltiples clientes (tenants).
  • Principio de Mínimo Privilegio: Un concepto de seguridad en el que a un usuario se le otorgan los niveles mínimos de acceso necesarios para realizar sus funciones laborales.
  • Phishing: Un tipo de ataque de ingeniería social que se utiliza para robar datos de los usuarios, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito.
  • Security Information and Event Management (SIEM): Una solución de software que agrega y analiza la actividad de muchos recursos diferentes en toda la infraestructura de TI.
  • Serverless (Sin Servidor): Un modelo de desarrollo en la nube en el que el proveedor de la nube ejecuta el servidor y gestiona dinámicamente la asignación de recursos de la máquina.
  • Virtual Private Cloud (VPC): Una nube privada alojada dentro de una nube pública, que proporciona aislamiento y control de la red.
  • WAF (Web Application Firewall): Un firewall que filtra, supervisa y bloquea el tráfico HTTP hacia y desde una aplicación web.

Themes