SEGURIDAD ADAPTATIVA PARA APLICACIONES EN LA NUBE

Abstract

La computación en la nube es un paradigma que se está implantando en empresas y organizaciones de todo tipo a un ritmo de adopción vertiginoso. Su flexibilidad y velocidad al aprovisionar recursos de manera casi instantánea, su alta escalabilidad, su fiabilidad o el modelo de pago por uso encamina a muchos clientes a trasladar sus cargas de trabajo a infraestructuras de nube pública. Sin embargo, las características de este modelo también originan amenazas de ciberseguridad, por lo que se deben desarrollar nuevas estrategias de seguridad que las hagan frente. En esta línea de investigación surgen las medidas de seguridad dinámica o adaptativa, que permiten a los sistemas modificar su arquitectura, comportamiento o configuración en función de la variación del contexto. Una innovadora y reciente propuesta ideada como sistema de seguridad basada en riesgo es RiAS, un modelo genérico capaz de adaptarse a cualquier entorno actual ya sea Cloud, Internet-of-Things (IoT), ciudades inteligentes, etc. Para lograr su propósito, obtiene diversa información del contexto de operaciones del sistema para generar un conocimiento, en base al cual se toman decisiones sobre si se debe realizar cualquier adaptación o no, para terminar, efectuándola en caso afirmativo. Además, define una estructura de actores que interactúan con el modelo, con unas responsabilidades delimitadas. En este trabajo se realiza una propuesta de seguridad, utilizando RiAS como modelo, para un entorno de comercio electrónico desplegado en la nube pública de Amazon Web Services (AWS), sobre el cual se tratan de mitigar diversos riesgos de seguridad. En este proceso, se ha procurado aprovechar las ventajas de los entornos en la nube también para el diseño y despliegue de RiAS. Tras completar el despliegue de la herramienta y comprobar su correcto funcionamiento, se han realizado diferentes experimentos que confirman todas las ventajas de RiAS y los modelos de seguridad adaptativa para entornos Cloud, como su escalabilidad o el escaso periodo de tiempo empleado en aplicar las medidas. Además, se ha conseguido implementar la propuesta sin apenas exceder la capa gratuita que AWS pone a disposición de sus clientes y sin sacrificar por ello capacidades, resaltando el bajo coste de la solución.