Archivo mensual: febrero 2011

Nos subimos a la nube…..(Parte I)

Introducción
El  objetivo de esta serie de artículos es analizar como con Microsoft BRS Solutions ( Microsoft Business Ready Security Solutions) podemos proteger la información sin importar donde esté, verificando como se accede a ella y a su vez protegemos la misma manteniento los objetivos de la Seguridad de la Información (Confidencialidad-Integridad-Disponibilidad). BRS Solutions, compuesto por la familia de soluciones Forefront nos ayudará con el objetivo, pero antes de que entremos a las problemáticas puntuales, tenemos que entender algunos
conceptos.
La Nube
Si buscamos en BING, el concepto de Cloud Computing, vamos a encontrar varias definiciones comunes. Para el caso, vamos a utilizar una definición que me agradó de NIST, ya que es la más completa de todas, que la describe de la siguiente manera :
“…Cloud Computing es un modelo para permitir acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración
o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue…”
Características del modelo
1) On-demand self-service: Autoservicio por demanda,un usuario de recursos de la nube puede aprovisionar de manera unilateral capacidades de cómputo, tales como tiempo de servidor y almacenamiento en red, en la medida en que las requiera sin necesidad de interacción humana por parte del proveedor del servicio. Ejemplo de ello, cuando utilizan almacenamiento provisto por los Webmails, como el caso de SkyDrive de Hotmail.
2) Broad network access: Acceso amplio desde la red, las capacidades están disponibles sobre la red y se acceden a través de mecanismos estándares que promueven el uso desde plataformas clientes heterogéneas, tales como clientes delgados (Thin Client), clientes pesados (Pc) o cualquier dispositivo móbil con acceso a Internet compatible con los estándares. (ej. Windows Mobile, IPad, IPhone, etc).
3) Resource pooling : Conjunto de recursos, los recursos computacionales del proveedor se habilitan para servir a múltiples consumidores mediante un modelo “multi-tenant*”, con varios recursos físicos como virtuales asignados dinámicamente en base a la demanda. Existe un sentido de independencia de
ubicación en cuanto a que el usuario no posee control o conocimiento sobre la ubicación exacta de los recursos que se le están proveyendo aunque puede estar en capacidad de especificar ubicación a un nivel de abstracción alto (ej. país, estado o centro de datos). Algunos ejemplos incluyen almacenamiento, procesamiento, memoria, ancho de banda y máquinas virtuales.
*El modelo Multi-Tenant se refiere a una arquitectura de software donde una única instancia del software se ejecuta en un servidor y al servicio de múltiples clientes.
4) Rapid elasticity: Rápida elasticidad, las capacidades pueden ser rápidamente y elásticamente  provisionadas, en algunos casos automáticamente, para escalar hacia fuera rápidamente y también
rápidamente liberadas para escalar hacia dentro también de manera rápida. Para el usuario, estas capacidades disponibles para aprovisionar a menudo aparecen como ilimitadas y pueden ser compradas en cualquier cantidad en cualquier momento.
5) Measured Service: Servicio medido, los sistemas en la nube controlan y optimizan automáticamente el uso de los recursos mediante una capacidad de medición a algún nivel de abstracción adecuado al tipo de
servicio. (ej. almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de estos recursos puede ser monitoreado, controlado y reportado, proporcionando transparencia tanto para el proveedor como para el usuario por el servicio utilizado.
Modelos de Servicios
1) Cloud Software as a Service (SaaS): Software como un service, esta capacidad provee al usuario que
utiliza las aplicaciones del proveedor una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos clientes a través de una interfaz como un navegador. (ej. Web-mail).
2) Cloud Platform as a Service (PaaS): Plataforma como un servicio: Esta capacidad le permite
al usuario desplegar en la infraestructura del proveedor aplicaciones creadas por el primero, incluso adquiridas, usando lenguajes de programación y herramientas del proveedor. El usuario no administrar o controlar la
infraestructura subyacente incluyendo nube de red, servidores, sistemas operativos, o de almacenamiento, pero tiene el control sobre las aplicaciones implementadas y, posiblemente, alojamiento de aplicaciones configuraciones de entorno.
3) Cloud Infrastructure as a Service (IaaS): Infraestructura como un servicio, esta capacidad permite al consumidor aprovisionar recursos computacionales como almacenamiento, procesamiento, redes
y otros elementos fundamentales en donde el consumidor puede desplegar y correr software arbitrario, el cual puede incluir sistemas operacionales y aplicaciones. El usuario no administrar o controlar la infraestructura cloud subyacente pero tiene el control sobre los sistemas operativos, almacenamiento, las aplicaciones implementadas, y posiblemente un control limitado de los componentes de red seleccionados.
Modelos de Despliegue
Ahora analizamos modelos de despligue o topología de la misma.
1) Private cloud: nube privada, la infraestructura en la nube es operado exclusivamente para una organización. Puede ser administrado por la organización o de un tercero y pueden existir en
las instalaciones o fuera de la premisa.
2) Community cloud: Nube comunitaria, la infraestructura en la nube es compartida por varias
organizaciones y es compatible con una comunidad específica que ha compartido las preocupaciones (por ejemplo, la misión, los requisitos de seguridad, la política y las consideraciones de cumplimiento). Puede ser administrado por las organizaciones o de un tercero.
3) Public cloud, Nube pública, la infraestructura de nube se puso a disposición del público en general
o a un grupo de la gran industria y es propiedad de una organización de venta de servicios en la nube.
4) Hybrid cloud: Nube Híbrida, la infraestructura en la nube es una composición de dos o más nubes (privada, comunitaria, o del público) que se mantienen las entidades únicas, pero están unidos por la tecnología estandarizada o de propiedad que permite que los datos y la portabilidad de aplicaciones (por ejemplo, nubes de ruptura de equilibrio de carga entre las nubes). Recuerden que en los modelos denominados Híbridos,
existe combinaciones de algún otro formato o modelo.
Microsoft Business Ready Security Solutions
En respuesta a estos retos y oportunidades de negocio, Microsoft está adoptando un enfoque fundamentalmente diferente a la seguridad. Este enfoque se denomina Business Ready Security. Se entiende a la seguridad como un elemento necesario para ayudar a las empresas a alcanzar sus objetivos de negocio, además ayudar a asegurar que las personas con permisos adecuados siempre tengan acceso a la
información que necesitan para realizar su trabajo.
Microsoft entiende que la seguridad debe abarcar la protección, el acceso y la gestión, todos entorno a la
identidad del usuario e integrado con una alta seguridad y plataforma interoperable.
En base a esto, Microsoft está trabajando para lograr el objetivo de BRS que basa en tres principios fundamentales:
1) La seguridad debe integrar y estar extendida en toda la empresa. Seguridad debe ser incorporada a la infraestructura (no solo con el objetivo de cumplir con auditorías), en el trabajo en múltiples plataformas y entornos. Identificar al usuario donde esté y sin importar a que plataforma acceda.
2) Seguridad debe contribuir a “la protección de todas partes, el acceso en cualquier lugar “. Esto incluye proporcionar protección a través de múltiples capas y permite el acceso remoto seguro.Protección y acceso deben ser entregados dentro del contexto de la identidad de un usuario
3) Microsoft entiende que la seguridad y la experiencia de cumplimiento deben ser significativamente
simplificado para nuestros clientes. Esta experiencia simplificada debe extenderse a todos los usuarios con una empresa que “interactua” con la seguridad y ayudar a gestionar los costes, la complejidad y el cumplimiento.
Por último, vamos a ver los diferentes focos que hace BRS.Business Ready of Security establece seis soluciones de uso, centrado en activos que ayudan a reducir los costos y a simplificar la administración de seguridad en el entorno de la empresa utilizado la infraestructura de TI:
1) Integrated Security – Seguridad integrada: Fácil de manejar, el malware y protección integral de información en toda la empresa.
2) Secure Messaging – Mensajería Segura: La comunicación segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, al tiempo que evita el uso no autorizado de información
confidencial.
3)Secure Collaboration- Colaboración Segura: La colaboración segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, evitando el uso no autorizado de información confidencial.
4)Secure Endpoint- Seguro de punto final: Proteger al cliente y sistemas operativos para servidores de las amenazas emergentes y la pérdida de información, al tiempo que permite un acceso seguro
desde prácticamente cualquier lugar y en cualquier dispositivo.
5) Identity and Access Management- Gestión de identidades y acceso: Simplificar y gestionar el acceso a un acceso seguro y compatible con las aplicaciones en las instalaciones y en la nube desde cualquier lugar o dispositivo.
6) Information Protection – Proteger la información: simplificar y administrar la protección de la información, evitando de esta manera fuga de la misma y ayudando al cliente en el cumplimiento de políticas.
En los artículos posteriores vamos a ir analizando cada uno de estos seis puntos, validando como soluciones Microsoft nos ayudan en la Seguridad Corporativa, y a su vez comprender el funcionamiento de la plataforma
FOREFRONT que nos permitirá sastifacer las necesidades de cada uno de los puntos mencionados anteriormente.
Fuentes: Nist, Microsoft.

Webcast Microsoft


Nos subimos a la nube… (Parte II).

Continuando la serie de artículos que comenzáramos en diciembre del año pasado, en esta segunda entrega, se analizará la Seguridad Integrada de una organización. Revisaremos como poseer una plataforma segura teniendo en cuenta todas las soluciones que componen el BRS (Business Ready Security).

Problemática

Hoy en día, la mayoría de las compañías, hacen foco en la lucha contra el malware en los puestos de trabajo. No podemos perder la visión holística de la organización, si hablamos de seguridad, debemos tener en cuenta los siguientes aspectos:

  • Distribución de los recursos tecnológicos de manera lógica y geográfica,
  • acceso de los usuarios y proveedores via VPN u otro medio,
  • tráfico entrante y saliente de correo, accesos web y ftp,
  • acceso a la información por parte de los usuarios, proveedores y terceros esporádicos.
  • permisos de acceso a los archivos, previa clasificación de la documentación (pública, privada, confidencial, etc),
  • fuga de información,
  • seguimiento de usuarios y consolidación de identidad,
  • control de acceso de los servicios Web de los usuarios,
  • tratamiento del correo electrónico.

Si se hace foco en un solo punto de todos los mencionados anteriormente, corremos el riesgo que sea explotada alguna vulnerabilidad y se nos presente un problema serio de seguridad en la compañía. La solución debe ser global, posible de auditar y que nos entregue en tiempo y forma el estado de seguridad de la compañía.

Business Ready Security
Teniendo en cuenta la problemática de la seguridad Microsoft ha estado trabajando, para lograr la estrategia de Business Ready Security , en tres principios fundamentales.

1) Integrar y extender la seguridad en toda la empresa.
2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.
3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Analizaremos a continuación cada uno de los principios.

Integrar y extender la seguridad en toda la empresa
Las soluciones de Microsoft Identity and Security y con la ayuda de productos de la familia Forefront, se logra una protección sin fisuras de los sistemas de TI mediante la integración con la plataforma Windows, las aplicaciones y la infraestructura. La plataforma de Identidad y Seguridad apoya entornos heterogéneos, permitiendo a terceras parte compartir y utilizar las capacidades para ayudar a ofrecer un mayor valor en toda la organización.

Dentro de las soluciones encontraremos a:
1) Windows Identity Foundation ayuda a los desarrolladores .NET a crear aplicaciones para notificaciones que externalizar la autenticación de usuario de la aplicación, mejorando la productividad del desarrollador, mejorando la seguridad de las aplicaciones, y permitiendo la interoperabilidad.

2) Active Directory Federation Services 2.0 (antes conocido como “Geneva” Server) es un servicio de token de seguridad, permitiendo la gestion del acceso de usuario y que permite simplificar el inicio de sesión único (single sign-on).

3)Active Directory Rights Management Services (AD RMS) le ayuda a aumentar la estrategia de una organización de seguridad mediante la protección de información a través de políticas de uso persistentes, que permanecen con la información sin importar dónde la misma se mueve.

4) Servicios de Active Directory, proporciona los medios para gestionar las identidades y relaciones que conforman la red de su organización. Integrado con Windows Server 2008, Active Directory proporciona una funcionalidad de configurar y administrar de forma centralizada el usuario y configuración de la aplicación. Active Directory Domain Services (AD DS) almacena los datos centralizadamente y maneja la comunicación entre usuarios y dominios, incluidos los procesos de inicio de sesión de usuario, autenticación y las búsquedas.

5) Bitlocker & Bitlocker to go: nos permite cifrar los repositorios de datos y equipos o dispositivos moviles. Un dispositivo USB, hoy puede ser cifrado por políticas de AD.

Ayudar a proteger a todas partes, el acceso en cualquier lugar.
Microsoft Forefront ofrece soluciones integrales de extremo a extremo, tanto en las instalaciones y en la nube,ayudando a proteger prácticamente todo el mundo y permitiendo un acceso seguro desde cualquier lugar. Utilizando este principio integrado de protección, identidad, y productos de acceso, el administrador puede ayudar a proteger el entorno y gestionar el acceso a través de datos, usuarios y sistemas.
Este principio es holísitico, y dentro de las soluciones encontraremos a:

1) Forefront Endpoint Protection 2010, protegemos el Sistema Operativo de la compañía. Permite a las empresas alinear la seguridad y la gestión para mejorar la protección de puntos finales, reduciendo los costos operativos. Se basa en System Center Configuration Manager 2007 R2 y R3, lo que permite a los clientes utilizar su infraestructura existente de gestión de clientes para desplegar y gestionar la protección de punto final.

2) Forefront Protection 2010 for Exchange Server, proporciona una detección rápida y efectiva de malware y spam, bloqueando el contenido mediante el uso de una política, y se integra con Forefront Online Protection for Exchange para ofrecer los beneficios de defensa en profundidad. Con la nueva consola, se integra con los otros productos de la familia, logrando así contar con un estado real de la seguridad corporativa.

3) Forefront Online Protection for Exchange (FOPE), basado en el concepto de Cloud Computing, puede ayudar a simplificar la administración de sus entornos de mensajería. El modelo hosteado de servicios en línea no requiere instalación de hardware o software, reduce al mínimo la inversión inicial. Como uno de los servicios en línea de Microsoft, Forefront Online Protection for Exchange proporciona una capa de funciones de protección implementado a través de una red mundial de centros de datos seguros.

4) Forefront Protection 2010 for SharePoint, ayuda a evitar que los usuarios suban o descarguen los documentos que contienen malware, fuera de la política de contenido, o información sensible a las bibliotecas de SharePoint. Se combina varios anti-malware de motores de escaneo de los socios de seguridad referentes en la industria, con el archivo y filtrado de palabras clave para proporcionar una protección completa contra las amenazas más recientes.

5) Forefront Security for Office Communications Server, ofrece una protección rápida y efectiva contra el malware de mensajería instantánea basado en la inclusión de múltiples motores de escaneo de los socios de seguridad líderes en la industria. También puede ayudar a reducir la responsabilidad corporativa mediante el bloqueo de mensajes instantáneos que contienen contenido inapropiado.

6) Forefront Threat Management Gateway 2010 (TMG), permite a la organización el uso de servicios de internet de manera segura y productiva, un uso para los negocios sin preocuparse por el malware u otras amenazas. Proporciona múltiples capas de protección, con continua actualización que se integran en un sistema unificado, fácil de manejar y lo que reduce el costo y la complejidad de la seguridad Web.

7) Forefront Unified Access Gateway 2010 (UAG), ofrece acceso completo y remoto seguro a recursos corporativos para los empleados, socios y proveedores en ambos equipos (administrados y no administrados) y los dispositivos móviles. Utilizando una combinación de opciones de conectividad, que van desde VPN SSL a DirectAccess, así como la construcción en las configuraciones y políticas, UAG proporciona gestión centralizada y fácil de acceder a una oferta completa de la organización en cualquier lugar.

Simplificarla la experiencia de la seguridad, gestionar el cumplimiento.
Microsoft viene trabajando para proveer soluciones que permitan gestionar información de forma segura a través de varios usuarios, puntos finales y servidores al mismo tiempo que lograr el cumplimiento de políticas de seguridad. La protección de Microsoft Forefront con control de acceso y soluciones que permiten la gestión de identidades que se integran con los entornos existentes, logran una implementación más sencilla, se obtiene la información centralizada a través de múltiples sistemas, y la gestión de los usuarios y la información en una sola vista.

1) Forefront Identity Manager 2010, simplifica la gestión de la empresa a través de la identidad de los usuarios finales la capacidad de autoservicio y las herramientas de administrador para automatizar tareas.

2) Microsoft Forefront Protection Server Management Console (FPSMC), la consola de administración proporciona un interfaz gráfica fácil de usar para el descubrimiento de servidores, configuración de implementación, presentación de informes, gestión de cuarentena, actualización del motor con las nuevas definiciones y a su vez la integración con Forefront Online Protection for Exchange.

La seguridad corpotativa de extremo a extremo es posible, aquí faltan algunos puntos a tener en cuenta como

1) Política de Seguridad de la compañía.
2) Cumplimiento de leyes y normas requeridas por el negocio (ej, PCI, ISO, etc).
3) Esquema de alertas y monitoreo.
4) Definición de responsable de las soluciones.
5) Política de clasificación de la información.

Se mencionan los puntos anteriores, por que el despligue por si solo de la solución de BRS, sin tener en cuenta los puntos anteriores, puede producir fallas o no lograr obtener los resultado esperados. Se imaginan que una alerta es emitida y nadie es responsable de una acción ante esa alerta, puede provocar caída o daños del sistema.

Estos temas serán tratados en el Webcast del día 8 de febrero, si desean registrarse, visite este sitio

Artículo publicado en http://seguridadit.blogspot.com

Mantenete actualizado!!