La segregación de la red en entornos cloud según la norma ISO 27001
Cloud
Durante el artículo anterior Como utilizar la norma ISO 27001 para gestionar los servicios en el cloud comentamos que se debe tener en cuenta la estructura de la red física, y si bien los conceptos que se presenta todavía son válidos tenemos en cuenta la segregación de la red en los entornos informáticos, se deben hacer algunas consideraciones nuevas.
La nube puede añadir diferentes aspectos de segregación de red que puede poner en peligro a los usuarios de servicios en el cloud y proveedores de servicios cloud. Estos deben ser evaluados y tratados. En este artículo, voy a ofrecer una visión general de los nuevos aspectos y cómo la norma ISO 27001, establece un código de prácticas para la seguridad de la información para los servicios en la nube, puede ayudar a abordar y definir los controles de seguridad de forma correcta.
¿Cómo funcionan las redes en los entornos de la nube?
Toda la comunicación que se lleva a cabo en los entornos de la nube pasa por ser llamado supervisor, una pieza de software que gestiona todas las máquinas virtuales en un servidor. Para cada máquina virtual creada, el supervisor designa una interfaz de red virtual que funciona de forma similar a una física.
El supervisor puede crear conmutadores virtuales que, al igual que los interruptores físicos, gestionar grupos de máquinas que pueden comunicarse directamente entre sí y limitar el tráfico de difusión. El supervisor puede crear tantos conmutadores virtuales como los recursos de la máquina que lo permite, y cada uno puede ser configurado para un conjunto particular de máquinas.
Cuando es necesario que una máquina virtual se comunique con algo fuera del servidor, el supervisor gestiona la comunicación de dicha máquina con interfaz de red del servidor físico.
La principal funcionalidad del supervisor, es permitir la proliferación del sistema cloud. La capacidad de los supervisores para comunicarse entre sí deberá ser la mejor posible. Contar con una máquina virtual se puede mover de un host físico a otro, lo que proporciona asignación dinámica de los recursos.
Impactos relacionados con la separación inadecuada
Los principales impactos que se relacionan con la falta de aplicación en cuanto a la segregación adecuada de la red del cloud son:
- La información a la que pueden acceder cada uno de los usuarios. Esto es particularmente malo cuando coexisten competidos dentro del mismo entorno cloud.
- Las sanciones por no cumplir con los requisitos legales y reglamentarios.
Así que, ¿cuáles son los nuevos riesgos de segregación?
Teniendo en cuenta lo que hemos dicho anteriormente, podemos identificar los siguientes riesgos que se encuentran relacionados con la segregación de la red en el cloud:
- El compromiso del supervisor: deberá tener la capacidad de crear y modificar las interfaces de red y conmutadores virtuales añadiendo una situación crítica con respecto al control de acceso y a la segregación.
- Cuidar de los datos durante la migración: además del riesgo del compromiso mediante el supervisor comprometido, una máquina virtual que puede estar expuesto durante la transferencia de los datos.
- La falta de alineación entre configuraciones virtuales y físicas: fuera del entorno del servidor, la comunicación se basa en dispositivos físicos de red.
¿Cómo puede la norma ISO 27001 ayudar a gestionar los riesgos de segregación de la nube?
Todas las recomendaciones que se incluyen en la norma ISO 27001, son aplicables a la segregación de la red en la nube. Pero algunos de ellos pueden ser mucho más detallados en la norma ISO 27017, en términos de segregación del tráfico.
La segregación del tráfico considera el tráfico de producción acceso al supervisor y gestión del tráfico operacional. En el caso de una red de la nube, un tipo adicional de tráfico debe ser considerado. Además, el tráfico de producción debería ser separado, a un nivel de cliente. Específica a la norma ISO 27017, existen tres recomendaciones controles:
- El supervisor se debe incluir como uno de los servicios que se encuentran bajo la política de control de acceso, por lo que existen reglas adecuadas para acceder y utilizar sus funciones, además de poner en prácticas controlando los cambios.
- Clientes de servicios en la nube deben solicitar información de los proveedores de servicios en la nube con respecto a cómo las redes se encuentran separadas, para que puedan evaluar mejor y garantizar los controles de proveedores de servicios cloud que cumplan con los requisitos de seguridad.
- Los proveedores de servicios en la nube deben implantar servicios políticas para asegurar que las configuraciones virtuales y físicas se apoyan de forma mutua, y operativa en cuanto a la documentación para asegurar la configuración adecuada de la red en el cloud.
Compartir recursos, se segregan ambientes e información
La optimización de los recursos proporcionados por la infraestructura de la nube ha permitido una reducción de los precios en la prestación de servicios en la nube como un negocio. Atrayendo a muchas empresas a esta solución. Proporcionando un entorno compartido requiere una gran cantidad de planificación y control para minimizar el riesgo de acceso no autorizado, accidentalmente o intencionadamente.
Con la adopción de los controles de la norma ISO 27001, un proveedor de servicio en la nube puede mejorar su control sobre los recursos de la nube, se les segrega en niveles que permitirán la asignación correcta de los recursos sin dejar que la información se encuentre sin protección.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.