• Author / Uploaded
• Karen Garza

Citation preview

Suscríbete a DeepL Pro para poder editar este documento. Entra en www.DeepL.com/pro para más información.

Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx

Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Capítulo 1P: Cloud Computing Introducción al Cloud Computing La tecnología de Cloud Computing es la más popular en la actualidad debido a su flexibilidad y movilidad. El Cloud Computing permite el acceso a recursos personales y compartidos con una gestión mínima. A menudo se basa en Internet. También hay disponible una solución de nube de terceros que ahorra recursos de expansión y mantenimiento. El ejemplo más apropiado de Cloud Computing es Amazon Elastic Cloud Compute (ECZ), altamente capaz, de bajo coste y flexible. Las principales características de la computación en nube incluyen: Autoservicio bajo demanda Almacenamiento distribuido Elasticidad rápida Servicios medidos Gestión automatizada Virtualización de la gestión Tipos de servicios de Cloud Computing Los servicios de Cloud Computing se clasifican en los siguientes tres tipos: - Infraestructura como servicio (IaaaG) Plataforma como servicio (PaaG) Goftware-as-a-Gervice (GaaG) Infraestructura como servicio (IaaS) Los servicios de infraestructura (IaaaG), también conocidos como servicios de infraestructura en la nube, son básicamente un modelo de autoservicio. IaaG se utiliza para acceder, monitorear y administrar el propósito. Por ejemplo, en lugar de comprar hardware adicional como cortafuegos, dispositivos de red, servidores y gastar dinero en implementación, administración y mantenimiento, el modelo de IaaaG ofrece infraestructura basada en la nube para implementar centros de datos remotos. Los ejemplos más populares de IaaaG son Amazon ECZ, Cisco Metapod, Microsoft Azure, Google Compute Engine (GCE). Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com v10 Plataforma-ac-un-Servicio (PaaS)

fb.com/ethicalhackx

Plataforma como servicio otro servicio de computación en nube. Permite a los usuarios desarrollar, ejecutar y gestionar aplicaciones. PaaG ofrece herramientas de desarrollo, gestión de configuración, plataformas de implementación y migración de la aplicación a

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

modelos híbridos. Básicamente ayuda a desarrollar y personalizar aplicaciones, gestionar OGEs, visualización, almacenamiento y networking, etc. Ejemplos de PaaG son Google App Engine, Microsoft Azure, Intel Mash Maker, etc. Software-ac-a-Service (SaaS) Goftware as a Gervice (GaaG) es uno de los tipos de servicio de Cloud Computing más populares y más utilizados. Goftware bajo demanda está alojado de forma centralizada para que los usuarios puedan acceder a él a través de los navegadores. Un ejemplo de GaaG es el software de oficina como office s65, Cisco WebEx, Citrix GoToMeeting, Google Apps, software de mensajería, DBMG, CAD, ERP, HRM, etc. Modelos de implementación en nube Los siguientes son los modelos de implementación para servicios en nube. Modelo de implementa ción Nube pública

Nube privada

Nube Híbrida

Comunidad en la Nube

Descripción

Las nubes públicas son alojadas por un tercero que ofrece diferentes tipos de servicios de Cloud Computing. Las Nubes Privadas son alojadas personalmente, individualmente. Las empresas corporativas suelen desplegar sus nubes privadas debido a sus políticas de seguridad. Las nubes híbridas se componen de nubes privadas y públicas. La nube privada es para que su nube pública y sensible aumente sus capacidades y servicios. Community Clouds are accessed por múltiples partes que tienen objetivos comunes y recursos compartidos. Tabla 19-01. Modelo de implantación en la nube

Arquitectura de referencia de Cloud Computing del NIST Following Architecture es una arquitectura de referencia conceptual genérica de alto nivel presentada por NIGT (National Institute of Gtandards and Technology). Arquitectura de referencia de cloud computing NIGT, que identifica los principales Componentes y sus funciones en cloud computing. Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10 El objetivo de

https://www.ethicalhackx.com

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

NIGT Architecture es facilitar la comprensión de los requisitos, usos, características y estándares del cloud computing.

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Figura 19-01. NICT Cloud Computing REFERENCIA ARGHITEGTURE

La arquitectura de Cloud Computing de NIGT define cinco actores principales: Cloud Consumer, Cloud Provider, Cloud Carrier, Cloud Auditor y Cloud Broker. Actor Consumid or de la nube Proveedor de nube

Definición Una persona u organización que mantiene una relación comercial con los proveedores de cloud computing y utiliza los servicios de los mismos. Una persona, organización o entidad es responsable de poner un servicio a disposición de las partes interesadas. Auditor de nube Una parte que puede llevar a cabo una evaluación independiente de los servicios cloud, las operaciones del sistema de información, el rendimiento y la seguridad de la implementación de la nube. Corredor de nube Una entidad que gestiona el uso, el rendimiento y la entrega de servicios cloud y negocia las relaciones entre los proveedores y los consumidores de cloud Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

computing.

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Portador de nube Un intermediario que proporciona conectividad y transporte de servicios cloud desde los proveedores de cloud computing a los consumidores de cloud computing. Mesa 19-0 Actores Beneficios del Cloud Computing Las ventajas de la computación en nube son abundantes y aquí se discuten algunas de las más importantes; Gapacidad incrementada: Al utilizar la computación en nube, los usuarios no tienen que preocuparse por la capacidad de infraestructura, ya que la plataforma en nube proporciona la capacidad ilimitada o simplemente podemos decir que mediante el uso de una plataforma en nube, el cliente puede utilizar tanta capacidad como desee o tan pequeña como necesite. Velocidad incrementada: El entorno de Cloud Computing ha reducido drásticamente el tiempo y el coste de los nuevos servicios de TI, lo que ha aumentado la velocidad de acceso de las organizaciones a los recursos de TI. Baja Latencia: Mediante el uso de la computación en nube, los clientes tienen la facilidad de implementar sus aplicaciones con sólo unos pocos clics, por lo que pueden realizar todas las tareas fácilmente a un costo mínimo, es decir, sin consumir demasiado tiempo y con una latencia mínima. Gasto económico de Lecc La mayor ventaja del Cloud Computing es un menor gasto económico. No hay necesidad de comprar hardware dedicado para una función en particular. Las redes, los centros de datos, los cortafuegos, las aplicaciones y otros servicios pueden virtualizarse fácilmente a través de la nube, ahorrando el coste de la compra de hardware, la configuración y la complejidad de la gestión, así como un menor coste de mantenimiento. Seguridad En términos de seguridad, el cloud computing también es eficiente. Las principales ventajas incluyen una menor inversión con respecto a la seguridad, con una gestión eficaz de los parches y actualizaciones de Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com v10 seguridad. La recuperación ante desastres, el escalamiento

fb.com/ethicalhackx

Certificado Ethical Hacker v10

fb.com/ethicalhackx

dinámico de los recursos defensivos y otros servicios de seguridad ofrecen protección contra las amenazas del cloud computing. Comprensión de la virtualización

https://www.ethicalhackx.com

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

La virtualización en redes informáticas es un proceso de despliegue de una máquina o varias máquinas virtualmente en un host. Estas máquinas virtualmente desplegadas utilizan los recursos del sistema de la máquina anfitriona por división lógica. La principal diferencia entre una máquina desplegada físicamente y una máquina virtual es la de los recursos del sistema y el hardware. La implementación física requiere hardware dedicado separado para un sistema operativo en funcionamiento, mientras que un host de máquina virtual puede soportar múltiples sistemas operativos en un único sistema compartiendo los recursos, como el almacenamiento. Beneficios de la virtualización en Gloud La principal ventaja de la virtualización es la reducción de costes. Comprar hardware dedicado no sólo cuesta lo suficiente, sino que también requiere mantenimiento, administración y seguridad. El hardware adicional consume espacio y energía, mientras que la virtualización soporta múltiples máquinas sobre un único hardware. Además, la virtualización también reduce las tareas de administración, gestión y establecimiento de redes, lo que garantiza la eficiencia. La virtualización sobre la nube es aún más eficaz cuando no es necesario instalar ni siquiera un solo hardware. Todas las máquinas virtuales desplegadas en un host son propiedad de la nube a través de Internet. Vou puede acceder fácilmente a ellos desde cualquier lugar y en cualquier momento.

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Amenazas del Cloud Computing Dado que el cloud computing ofrece muchos servicios con eficiencia y flexibilidad, también existen algunas amenazas de las que el cloud computing es vulnerable. Estas amenazas incluyen pérdida/incumplimiento de datos, interfaces y APIs inseguras, información privilegiada maliciosa, escaladas de privilegios, desastres naturales, fallos de hardware, autenticación, ataques a nivel de VM y mucho más. Pérdida de datos/alcance La pérdida de datos y la violación de datos son las amenazas más comunes para todas las plataformas. El cifrado incorrecto o la pérdida de las claves de cifrado pueden provocar la modificación, el borrado, el robo y el uso indebido de los datos. Abuso de los servicios cloud El abuso de los servicios en la nube incluye el uso del servicio con fines maliciosos, así como el uso abusivo de estos servicios. Por ejemplo, un atacante abusó del servicio en la nube de Dropbox para extender una campaña masiva de phishing. De manera similar, se puede utilizar para alojar datos maliciosos y para el comando y control de botnets, etc. Interfaz y APIs inseguras La interfaz de usuario de Goftware (UI) y la interfaz de programación de aplicaciones (API) son las interfaces utilizadas por los clientes para interactuar con el servicio. Estas interfaces pueden ser seguras mediante la realización de la monitorización, la orquestación, la gestión y el aprovisionamiento. Estas interfaces deben ser seguras contra intentos maliciosos.

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Ataques de Cloud Computing En Cloud Computing, los siguientes son los ataques más comunes que están siendo utilizados por un atacante para extraer información confidencial como credenciales u obtener acceso no autorizado. Ataques de Cloud Computing incluye: Secuestro de Servicios con Ataques de Ingeniería Gocial Secuestro de Gession con Ataque XGG Ataque al Sistema de Nombres de Dominio (DNG) Ataque a la Inyección GQL Ataque Ataque de envoltura Secuestro de servicios utilizando la red Secuestro de Gession utilizando Gession Riding Gide Channel Attack o Cross-guest VM Breaches Cryptanalysis Ataques Dos / DDoG Secuestro de servicios mediante ataques de ingeniería social Ya hemos hablado de los ataques de la ingeniería social. Utilizando las técnicas de Ingeniería Gocial, el ataque puede intentar adivinar la contraseña. Los ataques de Gocial Engineering dan como resultado un acceso no autorizado que expone la información confidencial de acuerdo con el nivel de privilegios del usuario comprometido. Secuestro de servicios con Network Sniffing Utilizando las herramientas de Packet Gniffing al colocarse en la red, un atacante puede capturar información sensible como contraseñas, ID de sesión, cookies y otra información relacionada con servicios web como UDDI, GOAP y WGDL. Secuestro de Sesión usando Ataque XSS Al iniciar Cross-Gite Gcripting (XGG), el atacante puede robar cookies inyectando código malicioso en el sitio web. Secuestro de sesión con Session Riding Gession Riding está diseñado para el secuestro de sesiones. Un atacante puede explotarlo al intentar falsificar una solicitud en cualquier lugar. El atacante utiliza la sesión actualmente activa y se desplaza sobre ella ejecutando las solicitudes, como la modificación de datos, el borrado de Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com v10 datos, las transacciones en línea y el cambio de contraseña,

fb.com/ethicalhackx

rastreando al

usuario para que haga clic en un enlace malicioso.

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

Suscríbete a DeepL Pro para poder editar este documento. https://www.ethicalhackx.com fb.com/ethicalhackx Entra en www.DeepL.com/pro para más información.

Ataques al sistema de nombres de dominio (DNS) Los ataques al sistema de nombres de dominio (DNG) incluyen envenenamiento DNG, ciberocupación, secuestro de dominios y mordedura de dominios. Un atacante puede intentar falsificar envenenando el servidor DNG o la caché para obtener las credenciales de los usuarios internos. El secuestro de dominios implica el robo de nombres de dominio de servicios en la nube. De manera similar, a través de las estafas de Phishing, los usuarios pueden ser redirigidos a un sitio web falso. Ataques al Canal Lateral o Brechas en la VM de Invitados Especiales Gide Channel Attacks o Cross-Guest VM Breach es un ataque que requiere la implementación de una máquina virtual maliciosa en el mismo host. Por ejemplo, un host físico aloja una máquina virtual que ofrece los servicios en la nube y, por lo tanto, es el objetivo de un atacante. El atacante instalará una máquina virtual maliciosa en el mismo host para aprovechar el uso compartido de recursos del mismo host, como caché de procesador, claves criptográficas, etc. La instalación puede ser realizada por un usuario interno malicioso o por un atacante haciéndose pasar por un usuario legítimo. Del mismo modo, hay otros atacantes que se han comentado anteriormente y que también son vulnerables al Cloud Computing, como los ataques de inyección de GQL (inyección de sentencias GQL maliciosas para extraer información), los ataques de criptoanálisis (cifrado débil u obsoleto), los ataques de envoltura (duplicación del cuerpo del mensaje), los ataques de negación de servicio (DoG) y los ataques de negación de servicio distribuido (DDoG).

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Seguridad en la nube La seguridad del Cloud Computing se refiere a las implementaciones, despliegues y prevenciones de seguridad para defenderse de las amenazas a la seguridad. Cloud Gecurity incluye políticas de control, despliegue de dispositivos de seguridad como cortafuegos de aplicaciones, dispositivos IPG de última generación y refuerzo de la infraestructura de Cloud Computing. También incluye algunas actividades que deben ser tomadas de los proveedores de servicios, así como las acciones que deben ser tomadas en el usuario final. Capas de control de seguridad en la nube Capa de aplicación Existen varios mecanismos, dispositivos y políticas de seguridad que proporcionan soporte en diferentes capas de control de seguridad de la nube. En la capa Aplicación, se despliegan cortafuegos de aplicaciones Web para filtrar el tráfico y observar el comportamiento del tráfico. Del mismo modo, el Ciclo de Vida de Desarrollo de Sistemas (GDLC), el Análisis de Código Binario, la Seguridad Transaccional proporcionan seguridad para las transacciones en línea, y el análisis de secuencias de comandos, etc. Información En Cloud Computing, para proporcionar confidencialidad e integridad de la información que se está comunicando entre cliente y servidor, se configuran diferentes políticas para monitorizar cualquier pérdida de datos. Estas políticas incluyen Data Loss Prevention (DLP) y Content Management Framework (CMF). La Prevención de Pérdida de Datos (DLP) es la característica que ofrece para prevenir la fuga de información hacia fuera de la red. Tradicionalmente esta información puede incluir información confidencial de la compañía u organizaciones, información propietaria, financiera y otra información secreta. La función de prevención de pérdida de datos también garantiza el cumplimiento de las normas y reglamentos mediante políticas de prevención de pérdida de datos para evitar que el usuario envíe esta información confidencial de forma intencionada o no. Gestión La seguridad del Cloud Computing en cuanto a la gestión se lleva a cabo mediante diferentes enfoques como Governance, Risk Management, and Compliance (GRC), Identity and Access Management (IAM), Patch and Configuration management. Estos enfoques ayudan a controlar el acceso Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

seguro a los recursos y a administrarlos.

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Capa de red Existen algunas soluciones disponibles para asegurar la capa de red en el cloud computing, como el despliegue de dispositivos IDG/IPG de última generación, cortafuegos de última generación, DNGGec, Anti-DDDoG, OAuth y Deep Packet Inspection (DPI), etc. El sistema de prevención de intrusiones de próxima generación, conocido como NGIPG, es uno de los componentes proactivos de la solución integrada de seguridad contra amenazas. NGIPG proporciona una capa de seguridad más fuerte con una visibilidad profunda, inteligencia de seguridad mejorada y protección avanzada contra amenazas emergentes para proteger infraestructuras complejas de redes. Cisco NGIPG Golution proporciona una visibilidad profunda de la red, automatización, inteligencia de seguridad y protección de siguiente nivel. Utiliza las capacidades de prevención de intrusiones más avanzadas y efectivas para detectar ataques de red sofisticados emergentes. Recopila continuamente información relacionada con la red, incluyendo información de sistemas operativos, archivos e información de aplicaciones, dispositivos e información del usuario. Esta información ayuda a NGIPG a determinar mapas de red y perfiles de host que conducen a información contextual para tomar mejores decisiones sobre eventos intrusivos. Tructed Gomputing La raíz de la confianza (RoT) se establece validando cada componente de hardware y software desde la entidad final hasta el certificado raíz. Su objetivo es garantizar que sólo se puedan utilizar software y hardware de confianza, conservando al mismo tiempo la flexibilidad. Informática y Almacenamiento La computación y el Gtorage en la computación en nube pueden ser asegurados mediante la implementación de sistemas HIDG/HIPG de detección o prevención de intrusiones basados en host. Configurar la comprobación de integridad, monitorización del sistema de archivos y análisis de archivos de registro, análisis de conexión, detección de nivel de kernel, encriptación del almacenamiento, etc. IPG/IDG basado en el host se despliega normalmente para la protección de un equipo host específico, y trabaja en estrecha colaboración con el núcleo del sistema operativo del equipo host. Crea una capa de filtrado y filtra cualquier llamada de aplicación maliciosa al GO. Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Seguridad Física La seguridad física siempre se requiere con prioridad para asegurar cualquier cosa. Al ser también el modelo OGI de primera capa, si el dispositivo no está físicamente asegurado, cualquier tipo de

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

de la configuración de seguridad no será efectiva. La seguridad física incluye la protección contra ataques provocados por el hombre, tales como robos, daños, acceso físico no autorizado, así como contra el impacto ambiental, como lluvia, polvo, apagones, incendios, etc. Responsabilidades en la seguridad en la nube Proveedor de servicios Gloud Las responsabilidades de un proveedor de servicios en la nube incluyen cumplir con los siguientes controles de seguridad: Cortafuegos de aplicaciones web (WAF). Cortafuegos Real Traffic Grabber (RTG) Prevención de pérdida de datos (DLP) Prevención de intrusiones Gecure Web Gateway (GWG) Gecurity de aplicaciones (App Gec) Equilibrador de carga de red privada virtual (VPN) CoG/QoG Trusted Platform Module Netflow y otros. Servicio de Gloud Service Goncumer Las responsabilidades de un consumidor de servicios en la nube incluyen cumplir con los siguientes controles de seguridad: Infraestructura de clave pública (PKI). Ciclo de vida del desarrollo de la seguridad (GDLC). Cortafuegos de aplicaciones web (WAF). Cifrado de cortafuegos . Prevención de intrusiones Gecure Gecure Web Gateway Application Gecurity Red Privada Virtual (VPN) y otros. Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Consideraciones sobre la seguridad del cloud computing

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Herramientas de seguridad en la nube Núcleo CloudInspect Core Gecurity Technologies ofrece "Core CloudInspect", una solución de pruebas de seguridad en nube para Amazon Web Gervices (AWG). Esta es una herramienta que se beneficia de las tecnologías Core Impact y Core Insight para ofrecer pruebas de penetración como un servicio de Amazon Web Gervices para usuarios de ECZ. Halo CloudPassage Cloud Passage Halo proporciona una amplia gama de controles de seguridad. Es una Golución de Seguridad de Nube Enfocada que previene ataques y detecta una indicación de compromiso. Cloud Passage Halo opera bajo los estándares de seguridad IGO-Z7OOOZ y es auditado anualmente contra los estándares PCI Level 1 y GOC Z. Cloud Passage Halo es la única plataforma de automatización de la seguridad de la carga de trabajo que ofrece la entrega bajo demanda de controles de seguridad a través de centros de datos, nubes privadas/públicas, máquinas virtuales y contenedores, a gran velocidad y escala. A diferencia de los sistemas de seguridad tradicionales, Halo y sus robustas APIs se integran con las cadenas de herramientas y procesos de CI/CD más populares, proporcionando retroalimentación justo a tiempo para corregir vulnerabilidades al principio del ciclo de desarrollo. Esto permite que los equipos de DevOps se desempeñen a la vez que proporcionan a los equipos de seguridad la validación que necesitan. Halo se integra fácilmente

con las plataformas populares de automatización y orquestación de la infraestructura, lo que permite que Halo se despliegue fácilmente para supervisar la seguridad y la postura de cumplimiento de las cargas de trabajo de forma continua. Figura 19-0 Paquete Cloud Paccage Halo Componentc

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

Certificado Ethical Hacker v10

https://www.ethicalhackx.com

fb.com/ethicalhackx

https://www.ethicalhackx.com

fb.com/ethicalhackx

Mapa Mental

Certificado Ethical Hacker v10