2.5 Houdini
2.5.1 How it works?
En el contexto del cloud todavía se encuentran algunas limitaciones en relación a la estandarización de las plataformas de los proveedores que dificultan en gran medida los procesos de migración de datos y aplicaciones y la integración con otros subsistemas de negocio que se requieran mantener en modo tradicional en una compañía. Adicionalmente, un cliente cloud puede tener distribuidas sus aplicaciones en diversos proveedores y requiere para su negocio que todas ellas se integren y sincronicen en la implementación de procesos. La industria cloud y las Administraciones Públicas tienen igualmente un importante reto en el desarrollo de estándares y de un marco de interoperabilidad efectivo (aspectos recogidos de forma expresa en la Agenda Digital para Europa). Los estándares sobre los que es necesario avanzar se citan a continuación:
Estándares del cloud para la interoperabilidad: como se ha venido comentando
a lo largo del documento, existe una amplia gama de capacidades y funcionalidades disponibles en las soluciones ofertadas por los proveedores que actualmente se pueden encontrar en el mercado. Sin embargo, la tecnología cloud computing se encuentra aún en sus primeras etapas de desarrollo, no
LTE 100 Mbps
Cloud Computing. Retos y Oportunidades
estando aún consolidada dentro de los departamentos TI del mundo empresarial. Por ello, la estandarización de procesos asociados al uso de soluciones cloud se encuentra también en periodo de desarrollo, quedando aún mucho camino por recorrer en procesos asociados a la interoperabilidad.
A pesar de encontrarse en periodo de desarrollo, muchos estándares de TI existentes en la actualidad contribuyen a la interoperabilidad entre los servicios en la nube y las aplicaciones dispuestas en ella para su uso, así como contribuyen en la interoperabilidad entre distintos servicios en la nube. Entre estos estándares, dentro de los específicos para la tecnología cloud podemos encontrar los que se muestran en la siguiente tabla:
Tabla 5. Estándares relativos a la interoperabilidad (2011)
Categorización Estándares disponibles: organización encargada de su desarrollo Situación
Servicios de Interoperabilidad
Open Cloud Computing Interface (OCCI); Open Grid
Forum.
Estándar concluido
Cloud Data Management Interface (CDMI); Storage
Networking Industry Association, SNIA.
Estándar concluido
IEEE P2301, Draft Guide for Cloud Portability and Interoperability Profiles (CPIP); IEEE.
En desarrollo
IEEE P2302, Draft Standard for Intercloud
Interoperability and Federation (SIIF); IEEE.
En desarrollo
Fuente: “NIST Cloud Computing Standards Roadmap”, NIST
Estándares de cloud computing relativos a la portabilidad: la rápida adopción de la infraestructura virtual ha popularizado la práctica del empaquetado, el transporte y el despliegue de sistemas preconfigurados y listos para su uso; incluyendo así rápidamente todas las aplicaciones y sistemas operativos necesarios en máquinas virtuales. El desarrollo de un estándar, modelo de metadatos portátiles para la distribución de máquinas virtuales y plataformas cloud, permitirá la portabilidad de dichas cargas de trabajo a cualquier plataforma cloud. Los estándares aprobados, usados actualmente en las soluciones de mercado, o que se encuentran aún en desarrollo se muestran en la siguiente tabla:
Cloud Computing. Retos y Oportunidades
Tabla 6. Estándares relativos a la portabilidad (2011)
Categorización Estándares disponibles: organización encargada de su desarrollo Situación Portabilidad de
datos Cloud Data Management Interface (CDMI); SNIA Estándar concluido
Portabilidad de sistemas
Open Virtualization Format (OVF); DMTF
Estándar concluido y usado en el mercado
IEEE P2301, Draft Guide for Cloud Portability and Interoperability Profiles (CPIP); IEEE
En desarrollo
Fuente: “NIST Cloud Computing Standards Roadmap”, NIST
En cuanto a la dirección que se seguirá en el futuro en cuanto a desarrollo de estándares de datos y metadatos, ésta no es otra que la de ayudar a mejorar la automatización del despliegue de la carga de trabajo entre distintas nubes. Por ello, comenzarán a ser desarrollados estándares que abarquen conceptos como los acuerdos de nivel de servicio, la configuración de redes de máquinas virtuales, o la información sobre la licencia del software entre otros.
Estándares de cloud computing relativos a la seguridad y nivel de servicio: los tres grandes objetivos de la seguridad en la nube (asegurar la confidencialidad, integridad y disponibilidad de la información y los sistemas de información) son relevantes ya que estos temas son las preocupaciones de mayor importancia para los usuarios respecto a la tecnología cloud computing.
Los mecanismos específicos que puede adoptar el cliente para reforzar la seguridad en la nube engloban el control perimetral, la criptografía y la ges-tión de logs o archivos de registro de eventos, como muestra en detalle la ―Guía para empresas: seguridad y privacidad del cloud computing‖32, de Inteco.
Las implementaciones de soluciones cloud están sujetas a amenazas físicas internas o externas a la empresa. Por ellos, entre los principales objetivos relativos a la seguridad para una aplicación informática en la nube se encuentran los siguientes:
32 ―Guía para las empresas: seguridad y privacidad del cloud computing‖. Inteco, 2011. (http://www.inteco.es/Seguridad/Observatorio/guias/Guia_Cloud)
Para ampliar información sobre los retos del cloud computing es recomendable la lectura del informe de Inteco, ―Riegos y amenazas del cloud computing‖, 2011.
(http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amen azas_en_cloud_computing.pdf)
Cloud Computing. Retos y Oportunidades
o Proteger los datos de los clientes del acceso no autorizado, y de la divulgación, modificación o control sin disponer de permiso para ello.
o Proteger de las amenazas de la cadena de suministro.
o Prevenir el acceso no autorizado a los recursos de infraestructura de la nube.
o Proteger los navegadores de Internet de los ataques, para mitigar las vulnerabilidades de seguridad de los usuarios finales.
o Implementar el control de acceso y las tecnologías de detección de intrusos en el proveedor de la nube, y llevar a cabo una evaluación independiente para verificarlo.
o Definir los límites de confianza entre los proveedores de servicio y los consumidores, estableciendo un marco de garantía contractual y el cumplimiento de las responsabilidades en la gestión del servicio y seguridad de los activos tecnológicos transferidos.
o Asegurar la portabilidad, de tal manera que el cliente puede cambiar los proveedores de servicios cloud cuando lo desee, sin que dejen de cumplir por ello los servicios cloud, los requisitos de disponibilidad, confidencialidad e integridad de datos.
Entre los estándares ya desarrollados en aspectos relativos a la seguridad de datos y sistemas se encuentran los reflejados en la tabla siguiente.
Cloud Computing. Retos y Oportunidades
Tabla 7. Estándares relativos a la seguridad (2011)
Categorización Estándares disponibles: organización encargada de su desarrollo Situación
Autentificación y Autorización
RFC 5246: Secure Sockets Layer (SSL)/ Transport Layer Security (TLS); IETF
Estándar concluido y usado en el mercado
RFC 3820: X.509 Public Key Infrastructure (PKI) Proxy Certificate Profile; IETF
Estándar concluido y usado en el mercado
RFC5280:Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile; IETF
Estándar concluido y usado en el mercado
X.509 | ISO/IEC 9594-8: Information technology – Open systems interconnection – The Directory: Public-key and attribute certificate frameworks; ITU-T
Estándar concluido y usado en el mercado
RFC 5849: Oauth (Open Authorization Protocol); IETF
Estándar concluido y usado en el mercado
OpenID Authentication; OpenID
Estándar concluido y usado en el mercado
eXtensible Access Control Markup Language (XACML); OASIS
Estándar concluido y usado en el mercado
Security Assertion Markup Language (SAML);
OASIS
Estándar concluido y usado en el mercado
FIPS 181: Automated Password Generator; NIST
Estándar concluido y usado en el mercado
FIPS 190: Guideline for the Use of Advanced Authentication Technology Alternatives; NIST
Estándar concluido y usado en el mercado
FIPS 196: Entity Authentication Using Public Key Cryptography; NIST
Estándar concluido y usado en el mercado
Cloud Computing. Retos y Oportunidades
Categorización Estándares disponibles: organización encargada de su desarrollo Situación
Confidencialidad
RFC 5246: Secure Sockets Layer (SSL)/ Transport Layer Security (TLS); IETF
Estándar concluido y usado en el mercado
Key Management Interoperability Protocol (KMIP); OASIS
Estándar concluido y usado en el mercado
XML Encryption Syntax and Processing; W3C Estándar concluido y usado en el mercado
FIPS 140-2: Security Requirements for
Cryptographic Modules; NIST
Estándar concluido y usado en el mercado
FIPS 185: Escrowed Encryption Standard (EES); NIST
Estándar concluido y usado en el mercado
FIPS 197: Advanced Encryption Standard (AES); NIST
Estándar concluido y usado en el mercado
FIPS 188: Standard Security Label for Information Transfer; NIST
Estándar concluido y usado en el mercado
Integridad
XML signature (XMLDSig); W3C Estándar concluido y usado en el mercado
FIPS 180-3: Secure Hash Standard (SHS); NIST Estándar concluido y usado en el mercado
FIPS 186-3: Digital Signature Standard (DSS);
NIST
Estándar concluido y usado en el mercado
FIPS 198-1: The Keyed-Hash Message
Authentication Code (HMAC); NIST
Estándar concluido y usado en el mercado
Gestión de identidades
Service Provisioning Markup Language (SPML);
WSFederation and WS-Trust
Estándar concluido
X.idmcc – Requirement of IdM in Cloud
Computing; ITU-T
En desarrollo
Security Assertion Markup Language (SAML);
OASIS
Estándar concluido y usado en el mercado
OpenID Authentication; OpenID Foundation Estándar concluido y usado en el mercado
FIPS 201-1: Personal Identity Verification (PIV) of Federal Employees and Contractors;
NIST
Estándar concluido y usado en el mercado
Cloud Computing. Retos y Oportunidades
Categorización Estándares disponibles: organización encargada de
su desarrollo Situación
Monitorización de la seguridad y
respuesta a incidencias
NIST SP 800-126: Security Content Automation Protocol (SCAP); NIST
Estándar concluido y usado en el mercado
NIST SP 800-61 Computer Security Incident Handling Guide; NIST
Estándar concluido
X.1500 Cybersecurity information exchange techniques; ITU-T
Estándar concluido y usado en el mercado
X.1520: Common vulnerabilities and
exposures; ITU-T
Estándar concluido
X.1521; Common Vulnerability Scoring System;
ITU-T
Estándar concluido
PCI Data Security Standard; PCI Estándar concluido y usado en el mercado FIPS 191: Guideline for the Analysis of Local
Area Network Security; NIST
Estándar concluido y usado en el mercado
Gestión de la política de
seguridad
eXtensible Access Control Markup Language (XACML); OASIS
Estándar concluido y usado en el mercado
FIPS 199: Standards for Security
Categorization of Federal Information and Information Systems; NIST
Estándar concluido y usado en el mercado
FIPS 200: Minimum Security Requirements for Federal Information and Information Systems;
NIST
Estándar concluido y usado en el mercado
Disponibilidad
ISO/PAS 22399:2007 Guidelines for incident preparedness and operational continuity management; ISO
Estándar concluido
Cloud Computing. Retos y Oportunidades