Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Detección de intrusiones en la nube: Consideraciones sobre la IDS en nubes publicas

Descubre los factores clave a la hora de implementar soluciones IDS en entornos de nube pública, así como las opciones disponibles.

Las empresas que quieran desplegar sus activos en una infraestructura pública de servicio (IaaS) bajo un entorno de nube, tienen como preocupación primaria la existencia de tecnologías de seguridad diseñadas en la casa que puedan transferir el entorno del proveedor en la nube. Los detectores de intrusos, basados en host y en red, son elementos estándar de muchos programas de seguridad de la información, y muchas empresas necesitan asegurarse de disponer de estas funciones dentro de un entorno en la nube.

En este consejo examinamos los problemas que las organizaciones necesitan considerar a la hora de crear sistemas de detección de intrusos en la nube y los diferentes sistemas disponibles en entornos IaaS.

Detección de intrusos en la nube: Problemas de Implementación

Las empresas que precisan de sistemas de detección de intrusos (IDS) dentro de entornos IaaS públicos, deben considerar los siguientes factores:

  • Asegúrese de monitorizar el tráfico de red dentro de la nube. Algunos proveedores facilitan la implementación de “virtual taps” o control de puertos sobre los switches virtuales para lograr este objetivo.
  • Tenga cuidado con el consumo de recursos cuando instala agentes en las plataformas en la nube y tenga en cuenta que los sensores IDS en la nube serán tratados como una maquina virtual, con el coste que eso supone. Estos sistemas también tienen un elevado consumo de CPU y memoria, mayor al de la VM tipo de la nube. Estos problemas tienen el mismo peso en las nubes privadas.
  • Considere las necesidades de gestión de la arquitectura cuando añada IDS/IPS al entorno en la nube. ¿Cómo monitorizar los eventos? Si su consola de gestión actual ya está dentro del entorno físico necesita conectarle los sensores en la nube para ese control, y seguramente quiera hacerlo usando una VPN por cuestiones de seguridad. Para muchas soluciones públicas en la nube esto puede provocar la necesidad de ciertas opciones como Amazon Virtual Private Cloud. También puede crear una arquitectura de gestión distribuida, colocando un sistema de gestión en el entorno en la nube.
  • Si ya ha trabajado con proveedores de seguridad de servicio (MSSPs) para gestionar y monitorear los sensores IDS/IPS consúlteles antes de proceder ya que puede ser que no estén equipados para trabajar bajo estos entornos.

Detección de Intrusiones en la Nube: Opciones de Proveedores

Algunos proveedores de servicios en la nube IaaS incluyen la integración de funciones de detección en sus servicios. La empresa filial deVerizon Communication Inc., Terremark ofrece diversos servicios de detección de intrusiones mediante su entorno de Nube Empresarial. Los servicios varían desde los IDS e IPS basados en redes o en host hasta las soluciones de análisis integral de flujos de red, pare evaluar análisis de conducta y captar toda la actividad de seguridad en la red.

Datapipe, una empresa de Jersey City, New Jersey dedicada a las infraestructuras de red en la nube ofrece diferentes opciones IDS. Como proveedor en la nube ofrece servicios de control IDS a cualquier cliente en la nube. Sin embargo Datapipe también ofrece un servicio llamado "Managed AWS" en que los clientes de Amazon pueden tener todo o parte de sus sistemas gestionados por Datapipe, incluyendo la seguridad. Puesto que Datapipe usa Alert Logic's Threat Manager IDS para monitorear el sistema,es algo muy conveniente ya que la plataforma de Alertas Lógicas está disponible de forma nativa en la Maquina de imágenes de Amazon, para su uso en la nube de Amazon.

Amazon es uno de los mayores proveedores en la nube y ofrece gran cantidad de opciones para que los clientes puedan instalar y gestionar sus propios sensores y reglas IDS. Snort IDS está disponible como una imagen EC2 comunitaria (no ha sido creada por Amazon) que puede ser instalada y cuenta con el soporte del equipo comercial de Sourcefire y el juego de normas Vulnerability Research Team (VRT). Esto permite a los clientes de EC2 poder fácilmente instalar e integrar los sensores IDS en ese entorno de red pública con el soporte comercial de Sourcefire.

Otro nuevo sistema presente en el mercado de Amazon para la detección de intrusos y otras habilidades de monitoreo es MetaFlows Inc. Security System for EC2. Metaflow, de San Diego, California es una empresa que ofrece servicios de detección de malware y prevención, y su software puede integrarse entre los hipervisores de Amazon y VMware, permitiendo a los consumidores con entornos híbridos en la nube poder monitorear e integrar las funciones de análisis en una sola solución. MetaFlow también integra los datos de geolocalización y otras soluciones de inteligencia frente a amenazas para detectar botnets y otra actividad maliciosa.

Las organizaciones que deseen implementar soluciones de detección de intrusiones en la nube también pueden usar soluciones basadas en host. Para las empresas que usan servicios IaaS en la nube, la forma más práctica de hacerlo es mediante el uso de productos o agentes que pueden desplegarse dentro del sistema y en las maquinas virtuales del entorno en la nube. Entre esas nuevas opciones se encuentra CloudPassage, que usa agentes para monitorear el sistema y también incluye gestión de configuración y cortafuegos en los entornos en la nube. Además el proveedor en la nube Savvis ofrece soluciones IDS basadas en host para sistemas cliente.

Por ahora existe cierta inmadurez respecto de los IDS en la nube. Muchos de los fabricantes tradicionales como McAfee, HP TippingPoint y otros todavía no han adaptado sus productos para el uso en la nube, aunque cuando poseen aplicaciones virtuales que funcionan en entornos de nube privada. Para estos clientes la mayor parte de protección frente a intrusiones recae sobre los proveedores en la nube, especialmente en entornos PaaS y SaaS. En un futuro se espera que el nivel de configuración y control interno este lo suficiente disponible a mayor abundamiento.

Dave Shackleford es propietario y Consultor Principal de Voodoo Security, Vicepresidente de Investigación y CTO de IANS y Analista, Formador y autor sobre SANS. Ha trabajado para cientos de empresas en aspectos de seguridad y cumplimiento legal, así como infraestructura de red e ingeniería. Es experto en VMware y tiene gran experiencia en el diseño y configuración de infraestructuras de red virtualizados. Ha trabajado anteriormente como CSO de Configuresoft, CT para el Center for Internet Security y analista de arquitectura de seguridad, analista y gestor en diversas empresas del Fortune 500. Dave es coautor de Hands-On Information Security, del Curos de Tecnologia así como del capítulo relativo a "Managing Incident Response" del curso de Tecnologia y los Casos de Gestión de Seguridad de la Información. Recientemente Dave también ha colaborado en el primer curso sobre virtualización de seguridad del instituto SANS. Dave actualmente trabaja como directivo del SANS Technology Institute y colabora con Alianza de Seguridad en la nube de Atlanta.

 

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close