Seguridad en la nube
MicrosoftVirtualAcademy
¿Qué es la nube?
Definición de NIST• National Institute of Standards and Technology
• "...Cloud Computing es un modelo para permitiracceso conveniente por demanda a un conjuntocompartido de recursos computacionalesconfigurables, por ejemplo, redes, servidores,almacenamiento, aplicaciones y servicios, quepueden ser rápidamente aprovisionados yliberados con un esfuerzo mínimo deadministración o de interacción con el proveedorde servicios. Este modelo de nube promueve ladisponibilidad y está compuesto por cincocaracterísticas esenciales, tres modelos de servicioy cuatro modelos de despliegue..."
Características del modelo
Características del modelo
• 1) On-demand self-service: Autoservicio por
demanda
• 2) Broad network access: Acceso amplio desde la
red
• 3) Resource pooling : Conjunto de recursos
• 4) Rapid elasticity: Rápida elasticidad
• 5) Measured Service: Servicio medido
Modelos de Servicios
Modelos de Servicios• 1) Cloud Software as a Service (SaaS): Software
como un servicio. Office 365
• 2) Cloud Platform as a Service (PaaS): Plataforma
como un servicio. PHP, JavaScript, C++
personalizado habilitado para .NET
• 3) Cloud Infrastructure as a Service (IaaS):
Infraestructura como un servicio. en el caso de
Microsoft, el conjunto de System Center de
productos y el entorno de servidor de nube Hyper-V
Modelos de Despliegue
1) Private cloud
2) Community cloud
3) Public cloud
4) Hybrid cloud
Acceso a la nube con Microsoft
“Si conoce Windows Server, si sabe de
System Center, lo llevaremos a la nube
usando las herramientas que ya está
usando”. – Brad Anderson,
vicepresidente corporativo, División
de administración y seguridad,
Microsoft”.
• Office 365: versión a petición de SaaS de Microsoft
Office, Exchange Online, SharePoint Online y el
servicio de comunicaciones unificado de Lync
Online. Office 365 incluye todas las aplicaciones del
conjunto de empaquetado de Office para los
cuatro servicios de comunicación y colaboración
comúnmente hospedados por un centro de datos
empresarial, partiendo por $ 6 por usuario por mes.
• Windows Azure: una oferta de plataforma como servicioque entrega ciclos de proceso, almacenamiento y elmarco de aplicaciones integradas de .NET conocidaspara los desarrolladores y profesionales de TI deWindows a petición. Windows Azure es un recursoinformático casi infinitamente escalable que suorganización puede aprovechar según sean necesariopara cargas de trabajo pequeñas o grandes, una basepara servicios integrales de escala empresarial o laeficacia para realizar proyectos masivos de extracciónde datos que pueden llamar datos prácticamentedesde cualquier parte. La nube pública de Microsoftpermite nuevos tipos de análisis disponibles solo para lasorganizaciones más grandes del mundo antes de laaparición de la nube.
• SQL Azure: una base de datos de escala global apetición, SQL Azure proporciona una versión en línea deSQL Server que se complementa con Windows Azure oque se puede llamar desde otras aplicaciones paraentregar rendimiento de base de datos de alto vuelto acualquier escala.
• Microsoft InTune: introducido recientemente, InTune esel servicio de administración de equipos basados en lanube de Microsoft que extiende las capacidadesadministrativas, como actualizaciones de software,administración de directivas y copias de seguridad acada rincón del planeta. Imagine tener los recursos queMicrosoft usa para actualizar los equipos en todo elmundo, InTune y System Center trabajan en sincroníapara aunar todos los recursos de proceso que suorganización posee o usa en una sola consola con unflujo de trabajo de mantenimiento y administración.
Seguridad
1) Integrated Security
2) Secure Messaging
3)Secure Collaboration
4)Secure Endpoint
5) Identity and Access Management
6) Information Protection
IDENTIDAD EN LA NUBE
¿Qué es identidad?
• Todo aquello que hace que una entidad sea
definible y reconocible, en términos de posesión
una serie de cualidades o características que la
distingan de otras entidades.
• Para los propósitos de aplicaciones software, esta
definición se traduce en “la colección de
información que describe una entidad para distinguirla de otras”.
Existen tres escenarios de uso principales que tienen que ver con la identidad:
Autenticación: El proceso de probar una identidad
• Autenticación: El proceso de probar una identidad.
• Autorización: El proceso de conceder permisos a
una identidad y de implementar políticas.
• Consulta de identidad: El proceso de consultar o
buscar información de identidad para el uso
general de la aplicación.
Escenario básico
• La aplicación y el STS establecen una relación de confianza con el intercambio de claves criptográficas. (1).
• La aplicación expone una política que define una lista de notificaciones que necesita y los STS de confianza que pueden producir dichas notificaciones.Luego de recuperar esta política (2), el cliente contacta el STS (3), solicita las notificaciones requeridas por la aplicación. El STS autentica al usuario y le devuelve un token de seguridad que contiene todas las notificaciones.El cliente luego hace la solicitud a la aplicación (4), enviando el token de seguridad con la solicitud del servicio. La aplicación valida el token y usa las notificaciones para hacerle una revisión al cliente y formular la respuesta.
• En este ejemplo, la Administración de Contoso ha emitido órdenes administrativas al departamento de IT para permitir a los empleados de su asociado, Fabrikam, el uso de una aplicación que hasta el momento sólo ha estado disponible para empleados de Contoso. La política de servicio es muy sencilla: se presenta el token creada por el STS de Contoso, y se proveerá el servicio. Los empleados de Contoso pueden con facilidad recibir el token y usar el servicio, pero los empleados de Fabrikam no tienen la habilidad de usar el STS de Contoso. Por lo tanto, en lugar de incorporar una relación directa con el STS de Fabrikama la aplicación, los empleados de Fabrikam pueden usar los tokens que han recibido del STS de Fabrikam para que el STS de Contoso les de un token basado en el hecho de que confía en el STS de Fabrikam.
• Los empleados seran autenticados en el STS local de la organización (1), recibirán un token (2), y lo presentarán ante el STS de Contoso (3).
• Cuando se ha establecido la confianza entre dos STS, las reglas de asignación de notificaciones se definieron. Usando estas reglas, el STS de Contoso asigna las notificaciones suministradas por el STS de Fabrikam y las utiliza para crear un token válido para la aplicación (4).
• Luego de recibir el token producido por el STS de Contoso, los empleados de Fabrikam pueden enviarlo a al aplicación para recibir el servicio (5).
Bienvenido a la Edad de la Nube, tiempo en que su
carrera de TI alcanzará nuevas cimas. Microsoft
está a su servicio.
Genaro W. Lapoyeu