Sistema automático de ejecución de tareas de seguridad en cloud
La computación en la nube ha experimentado un crecimiento significativo en los últimos años, con un aumento notorio tanto en la cantidad de empresas que ofrecen servicios, como en la diversidad de dichos servicios, así como en el número de clientes que acceden a ellos. Esto se debe a la flexibilidad...
- Autores:
-
Alfonso Ruiz, Jaime Esteban
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2024
- Institución:
- Universidad de los Andes
- Repositorio:
- Séneca: repositorio Uniandes
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.uniandes.edu.co:1992/74320
- Acceso en línea:
- https://hdl.handle.net/1992/74320
- Palabra clave:
- Seguridad
Permisos
Nube (Cloud)
AWS
Acceso
Configuraciones
Ingeniería
- Rights
- openAccess
- License
- Attribution-NonCommercial 4.0 International
| Summary: | La computación en la nube ha experimentado un crecimiento significativo en los últimos años, con un aumento notorio tanto en la cantidad de empresas que ofrecen servicios, como en la diversidad de dichos servicios, así como en el número de clientes que acceden a ellos. Esto se debe a la flexibilidad, escalabilidad y facilidad de uso que ofrece la tecnología en la nube para acceder a los recursos computacionales; no es necesario tenerlos físicamente instalados, basta con una conexión a internet estable y un dispositivo como un portátil, smartphone o Tablet. A pesar de las ventajas en seguridad que ofrece la computación en la nube, la naturaleza remota de la información y la compartición inherente de la mayoría de los servicios plantean desafíos significativos. Estos desafíos a menudo surgen debido a la falta de comprensión por parte de los usuarios sobre cómo configurar adecuadamente las herramientas proporcionadas por el proveedor según sus necesidades específicas. También puede ser el resultado de una subestimación de los riesgos asociados con el uso de los servicios en la nube. Este escenario destaca la necesidad crítica de una gestión consciente de la seguridad, donde la falta de conocimiento y la omisión de considerar estos riesgos pueden exponer a los usuarios a vulnerabilidades innecesarias. Por otro lado, los proveedores de nube ofrecen un conjunto de herramientas que los clientes pueden usar para mejorar la seguridad de su infraestructura en la nube, sin embargo, el desconocimiento de estas herramientas y los errores de configuración pueden generar vulnerabilidades difíciles de percibir a simple vista y que para cuando los administradores y usuarios se dan cuenta, puede ser demasiado tarde. Este proyecto propone diseñar e implementar un sistema automático de verificación de configuraciones seguras en Cloud, que sirva para hacer un mapeo de toda la infraestructura y configuraciones realizadas por una organización o usuario de nube, e indique qué cambios, nuevas herramientas y practicas pueden servir para mejorar la seguridad. La idea es que, gracias a un análisis de las configuraciones y la arquitectura, sea posible detectar errores y sugerir mejoras. El diseño es genérico, pero para probar la propuesta se decidió trabajar con Amazon Web Services (AWS). En particular, este trabajo se enfoca en las configuraciones relacionadas con la administración de acceso e identidades de AWS, para identificar qué políticas y permisos podrían estar mal asignados a los distintos usuarios. Para esto, el sistema realizara un análisis y mapeo de 4 aspectos principales: Políticas asociadas a los usuarios, Listas de control de acceso, Autenticación multifactor, y políticas de acceso no utilizadas. Al final, se obtuvo un módulo de mapeo parcial enfocado en los permisos de acceso a los recursos, que consta de 4 partes y que permite al administrador observar de forma consolidada las configuraciones que tiene su infraestructura en temas de permisos, haciéndole más fácil la identificación de posibles problemas y dándole más tiempo para tomar decisiones sobre dejar o revocar permisos. Estas acciones permiten aumentar la seguridad de los recursos y disminuir la superficie de ataque. |
|---|