Seguridad PaaS: Cuatro reglas para bajar los riesgos empresariales

Compartir memoria y espacio en disco con desconocidos mientras el software aplica la seguridad. ¿Qué podría salir mal? Si bien estas preguntas o preocupaciones son constantemente consideradas por los profesionales de la seguridad, se vuelven más relevantes cuando se consideran en el contexto de la plataforma como servicio con seguridad en la nube. La nube sigue ganando en popularidad y escrutinio, haciendo de este punto en el tiempo una buena oportunidad para examinar la seguridad de PaaS.

El hipervisor sigue siendo el vector más directo y eficaz para atacar la nube, tanto para PaaS como para la infraestructura como servicio. La comunidad de hackers mantiene su compromiso de descifrar el hipervisor, o hyperjacking. La razón de la concentración en el hipervisor es que el hipervisor, en la computación en nube, es el equivalente a root o admin en los sistemas operativos normales.

Actualmente, una vez que el hardware y el firmware utilizado por los hipervisores ha sido descifrado, no solo puede permitir el acceso fácilmente, sino que la capacidad de detectar el problema es más difícil. Un hipervisor “craqueado” es difícil de detectar debido, en parte, a la falta de software de monitoreo disponible en esta capa. Hay un segundo problema, más evidente, para la detección; un hacker que es capaz de poner en peligro el hipervisor deshabilitará fácilmente el registro y otros servicios de monitoreo o, peor aún, proporcionará información falsa a los sistemas de monitoreo.

El entorno virtual utilizado en plataforma como servicio (PaaS) requiere protección contra ataques diseñados para entornos tanto físicos, como virtuales. Los errores estándar contra las bibliotecas en el entorno físico siguen siendo explotables en el entorno virtual. Después de todo, el entorno virtual es simplemente otra ejemplificación del entorno físico. Además, exploits como el malware diseñado para el entorno virtual son una triste realidad, como lo ilustró Crisis/Morcut en el año 2012.

De interés adicional en las capas inferiores de un entorno PaaS son los mapas de memoria. Cuando se crean entornos virtuales, la memoria y el espacio en disco son asignados para su uso. Los programadores crean software que escribe en la memoria, y mientras los objetos son generalmente desasignados como parte del proceso de eliminación, esto no está garantizado. Un objeto persistente bien colocado puede actuar como un rootkit si se coloca en la posición de memoria correcta, y puede proceder a afectar entornos en cada instancia.

El hackeo entre inquilinos es otro camino que ofrece una oportunidad para los problemas de seguridad. Los errores de configuración representan una gran parte de los problemas de seguridad de PaaS. Las configuraciones incorrectas pueden causar inadvertidamente la pérdida de datos, ya sea a través del hackeo entre inquilinos o la escalada de privilegios por usuarios autorizados.

Si bien es poco lo que se puede hacer sobre el hyperjacking, hay algunos pasos que pueden ayudar a minimizar, o al menos cuantificar, el daño por estos y otros ataques a PaaS. Algunas reglas simples se pueden utilizar cuando se opera en el entorno de nube PaaS. Si bien estas normas no se harán cargo de todos los vectores de ataque, al menos harán los riesgos manejables.

Regla de seguridad PaaS 1: Asigne un valor a los datos. Antes de unirse a la nube y antes incluso de entrar en un acuerdo con el proveedor, determine el valor de los datos que va a almacenar en la nube. En pocas palabras, algunos datos no tienen cabida en el entorno compartido. Esto es cierto incluso si los datos están cifrados, ya que algunos de los vectores de ataque actúan como ataques de hombre en el medio cuando se intercambian claves. Tenga en cuenta también el valor de otros datos, como los datos de los empleados, que no se consideran normalmente.

Regla de seguridad PaaS 2: Cifre los datos. Si bien el cifrado no garantiza la seguridad, sí asegura la privacidad. Pero tenga en cuenta que los mecanismos desplegados sí restringen el acceso. Reconozca que los ataques al hipervisor pueden derrotar este control a través de ataques de hombre en el medio. Por esta razón, refiérase a la regla 1.

Regla de seguridad PaaS 3: Haga cumplir la regla del mínimo privilegio. Todos los usuarios deben tener la menor cantidad de privilegios para ejecutar. Vale la pena repetir esto porque, históricamente, cuando los desarrolladores de software han desarrollado software en la empresa, se les ha concedido acceso privilegiado a los desarrolladores en hosts aislados. Mientras que el modelo de nube crea y destruye un entorno temporal, suceden errores, ocurren bugs y el potencial para la creación de objetos permanentes proporciona una razón suficiente para restringir el acceso. Si no se mantiene las separaciones, se dará lugar a una mayor necesidad de entender la regla 1.

Regla de seguridad PaaS 4: Lea, comprenda y negocie los acuerdos de nivel de servicio (SLA). El acuerdo de nivel de servicio va más allá de la disponibilidad y el rendimiento, y está directamente relacionado con el valor de los datos. Si los datos se pierden o se ven comprometidos, el SLA especifica los términos de remuneración. Para que el SLA sea efectivo, el proveedor de servicios de nube (CSP) debe tener activos suficientes para cubrir los costos asociados con los datos valorizados en la Regla 1.

El CSP debe demostrar que ha realizado la debida diligencia en la seguridad del entorno. El problema es que las auditorías de seguridad son incapaces de detectar ataques sofisticados de día cero; más bien, la auditoría solo revelará las vulnerabilidades conocidas. Si su postura de seguridad del sitio es más rigurosa que la del CSP, considere nuevamente la Regla 1.

Comprender de su entorno de amenazas específico debe proporcionar a las empresas el contexto necesario para las decisiones en torno a uso de la nube en general, y alrededor de PaaS específicamente. En algunos casos, migrar a la nube ofrece la oportunidad de mantener o incluso mejorar la postura de seguridad de una organización. En otros casos, la migración a la nube crea nuevos problemas. En cualquiera de los casos, determine el valor de los datos primero y utilice esa información para determinar el camino a seguir.

Sobre el autor: El Dr. Char Sample, un investigador de seguridad cibernética y miembro de ICF International, tiene 20 años de experiencia en seguridad de internet y de la información. Anteriormente se desempeñó como científico de investigación e ingeniero de soluciones de seguridad con el CERT en la Universidad Carnegie-Mellon. Además de su papel en ICF Internacional, Sample es un investigador visitante y miembro internacional para la seguridad cibernética en la Universidad de Warwick en el Reino Unido.