Protección de datos, Integridad y Control de Acceso.
Tanto en la nube pública como privada, se requieren dos partes para administrar la Identidad y la gestión de Accesos sin comprometer la seguridad. La diferencia clave es la relación entre el proveedor de la nube y el usuario de la nube, incluso en la nube privada. La gestión de identidad y el control de accesos no puede ser administrada únicamente por uno u otro y por lo tanto una relación de confianza y responsabilidades, requiere habilitar los mecanismos técnicos necesarios, donde en la mayoría de las veces esto se reduce a la federación.
 |
| Fuente: Beth Helfand |
La cloud es un entorno que tiende a cambiar rápidamente con frecuencia, estar altamente distribuida (incluso a través de límites jurisdiccionales legales), aumentando la complejidad del plano de gestión y las comunicaciones de red, lo que abre las infraestructura de este tipo a los ataques. Todo ello, obtiene mucha más complejidad al existir amplias diferencias entre los distintos proveedores, los diferentes modelos de servicio y los distintos despliegues.
La seguridad de datos, también conocida como seguridad de la información, es un aspecto esencial de TI en organizaciones de cualquier tamaño y tipo. Se trata de un aspecto que tiene que ver con la protección de datos contra accesos no autorizados y para protegerlos de una posible corrupción durante todo su ciclo de vida.
Esta incluye conceptos como encriptación de datos, uso de tokens y prácticas de gestión de claves que ayudan a proteger los datos en todas las aplicaciones y plataformas de una organización.
Hoy en día, organizaciones de todo el mundo invierten fuertemente en la tecnología de información relacionada con la ciber defensa con el fin de proteger sus activos críticos: su marca, capital intelectual y la información de sus clientes. En todos los temas de seguridad de datos existen elementos comunes que todas las organizaciones deben tener en cuenta a la hora de aplicar sus medidas: las personas, los procesos y la tecnología.
Integridad
La integridad de datos es un término usado para referirse a la exactitud y fiabilidad de los datos. Los datos deben estar completos, sin variaciones o compromisos del original, que se considera confiable y exacto. Compromisos a la integridad de los datos pueden ocurrir en muchas maneras.
En las industrias donde los datos son manipulados, identificados y abordados, las posibles fuentes de daño a los datos son un aspecto importante de la seguridad de los datos.
Hay dos modos de alterar los datos: de forma accidental, mediante errores de hardware y transmisión o debido a un ataque deliberado. Muchos productos de hardware y protocolos de transmisión disponen de mecanismos para detectar y corregir los errores de hardware y transmisión. La finalidad del servicio de integridad de datos es detectar un ataque deliberado, si se han modificado los datos. Su objetivo no es restaurar los datos a su estado original si se han modificado.
Los mecanismos de control de accesos pueden ayudar a la integridad de los datos, dado que los datos no se pueden modificar si se deniega el acceso. Pero, del mismo modo que ocurre con la confidencialidad, los mecanismos de control de accesos no resultan eficaces en un entorno de red.
Control de Acceso
La gestión de identidad y acceso siempre es complicada. En el kernel de todo esto, estamos mapeando alguna forma de entidad (persona, sistema, fragmento de código, etc.) a una identidad verificable asociada con varios atributos (que puede cambiar en función de las circunstancias actuales), tomando luego una decisión sobre lo que puede o no hacer basada en los derechos y los accesos que esta tiene. Incluso cuando controlas toda la cadena de ese proceso, administrar los distintos sistemas y la tecnologías de una manera segura y verificable, es un autentico desafío.
 |
| Fuente: Microsoft Learn |
Existen bastantes estándares de gestión de identidad y acceso, y muchos de ellos se pueden usar en Cloud. A pesar de la amplia gama de opciones, la industria se está fortaleciendo en un conjunto básico que se ve con mayor frecuencia en varias implementaciones y que cuentan con el respaldo de la mayoría de los proveedores:
- Security Assertion Markup Language (SAML) 2.0: Es un estándar OASIS para la administración de identidades federadas que admite autenticación y autorización. Utiliza XML para realizar afirmaciones entre un proveedor de identidad y una parte dependiente. Las afirmaciones pueden contener declaraciones de autenticación, declaraciones de atributos y declaraciones de decisión de autorización. SAML es ampliamente compatible con la gran mayoria de herramientas empresariales y la Cloud, pero suele ser compleja de configurar inicialmente.
- OAuth: Es un estándar de IETF para la autorización que se usa ampliamente para servicios web. OAuth está diseñado para funcionar a través de HTTP y actualmente está en la versión 2.0, que no es compatible con la versión 1.0 por lo que significa que las implementaciones pueden no ser compatibles. Se usa con mayor frecuencia para delegar el control de acceso / autorizaciones entre servicios.
- OpenID: Es un estándar para la autenticación federada que es ampliamente compatible con los servicios web. Está basado en HTTP con URLs usadas para identificar el proveedor de identidad y el usuario / identidad (por ejemplo, identity.identityprovider.com). La versión actual es OpenID Connect 1.0 y se ve muy comúnmente en los servicios al consumidor.
- eXtensible Access Control Markup Language (XACML): Es un estándar para definir los atributos basados en controles de acceso / autorizaciones. Es un lenguaje de políticas para definir controles de acceso en una Policy Enforcement Point y luego pasarlos a un punto de aplicación de políticas. Se puede usar con ambos SAML y OAuth ya que resuelve una parte diferente del problema, por ejemplo, decidir qué está permitido hacer en una entidad con un conjunto de atributos, a diferencia de manejar inicios de sesión o delegaciones de autoridad.
- System for Cross-domain Identity Management (SCIM): Es un estándar para intercambiar información de identidad entre dominios. Se puede usar para provisionar y desaprovisionar cuentas en sistemas externos y para intercambiar información de atributos.
Comentarios
Publicar un comentario