Organización de la Arquitectura de Seguridad La Arquitectura de Seguridad divide de manera lógica un conjunto complejo de características relacionadas con la seguridad de la red de extremo a extremo en componentes arquitecturales separados en Capas y Planos. Esta separación permite aplicar una metodología sistemática a la seguridad de extremo a extremo que puede ser usada para la planificación de nuevas soluciones de seguridad y también para evaluar la seguridad de las redes existentes.
Componentes de la Arquitectura de Seguridad La Arquitectura de Seguridad trata tres preguntas esenciales relacionadas con la seguridad de extremo a extremo: 1. ¿Qué tipos de protecciones son necesarias y contra cuáles tipos de amenazas? 2. ¿Cuáles son los distintos tipos de equipos y agrupaciones de facilidades de red que es necesario proteger? 3. ¿Cuáles son los distintos tipos de actividades de red que es necesario proteger? Estas tres preguntas son tratadas respectivamente por tres componentes arquitecturales: 1. Dimensiones de la Seguridad. 2. Capas de Seguridad. 3. Planos de Seguridad.
Dimensiones de la Seguridad Una Dimensión de la Seguridad es un conjunto de medidas de seguridad diseñadas para tratar un aspecto particular de la seguridad de red. Se ha identificado 8 Dimensiones de la Seguridad que protegen contra las principales amenazas a la seguridad: 1) Control de Acceso. 2) Autenticación. 3) No Repudio. 4) Confidencialidad de los Datos. 5) Seguridad de la Comunicación. 6) Integridad de los Datos. 7) Disponibilidad. 8) Privacidad.
Aplicación de las Dimensiones de la Seguridad RED O SISTEMA DE COMUNICACIONES Control de Acceso Autenticación Confidencialidad de los Datos Seguridad de la Comunicación Integridad de los Datos Disponibilidad Privacidad No repudio AMENAZAS ATAQUES 8 Dimensiones de la Seguridad Destrucción Corrupción Pérdida Revelación Interrupción VULNERABILIDADES
Dimensión de Seguridad:1) Control de Acceso La dimensión Control de Acceso protege contra el uso no autorizado de los recursos de red. Garantiza que sólo se permite que personal o dispositivos autorizados tengan acceso a los elementos de red, información almacenada, flujos de información, servicios y aplicaciones.
Dimensión de Seguridad:2) Autenticación La dimensión Autenticación sirve para confirmar las identidades de las entidades comunicantes. La autenticación garantiza la validez de las identidades pretendidas por las entidades participantes en una comunicación (p. ej. persona, dispositivo, servicio o aplicación). Garantiza que una entidad no está tratando de realizar una suplantación o una reproducción no autorizada de una comunicación anterior.
Dimensión de Seguridad:3) No Repudio La dimensión No Repudio proporciona los medios para prevenir que un individuo o entidad niegue haber realizado una acción particular relacionada con los datos, dejando disponibles pruebas de las variadas acciones relacionadas con la red. Garantiza la disponibilidad de evidencia que puede ser presentada a una tercera parte y usada para demostrar que algún tipo de evento o acción ha tenido lugar Ejemplos de evidencias para no repudio: prueba de obligación, intento, o compromiso; prueba del origen de los datos, prueba de propiedad, prueba de uso de recursos.
Dimensión de Seguridad:4) Confidencialidad de los Datos La dimensión Confidencialidad de los Datos protege los datos de una revelación no autorizada. Garantiza que el contenido de los datos no pueda ser entendido por entidades no autorizadas. Ejemplos de métodos usados para proporcionar confidencialidad de los datos: cifrado, listas de control de acceso, y archivos de permisos.
Dimensión de Seguridad:5) Seguridad de la Comunicación La dimensión de Seguridad de la Comunicación garantiza que la información fluya sólo entre los puntos extremos autorizados. Garantiza que la información no es desviada o interceptada durante el recorrido entre esos puntos extremos.
Dimensión de Seguridad: 6) Integridad de los Datos La dimensión Integridad de los Datos garantiza la corrección o exactitud de los datos. Los datos son protegidos contra modificación, eliminación, creación, y repetición no autorizada y proporciona una indicación de estas actividades no autorizadas.
Dimensión de Seguridad:7) Disponibilidad La dimensión Disponibilidad garantiza que no haya denegación de acceso autorizado a elementos de red, información almacenada, flujos de información, servicios y aplicaciones debido a eventos que impacten a la red. Las soluciones de recuperación de desastres están incluidas en esta categoría.
Dimensión de Seguridad:8) Privacidad La dimensión Privacidad proporciona la protección de la información que podría ser obtenida a partir de la observación de las actividades de la red. Ejemplos de esta información incluyen los sitios web que un usuario ha visitado, la localización geográfica de un usuario, y las direcciones IP y nombres DNS de los dispositivos de una red de un Proveedor de Servicio.
Capas de Seguridad Para proporcionar una solución de seguridad de extremo a extremo, las Dimensiones de la Seguridad deben ser aplicadas a una jerarquía de equipos y agrupaciones de facilidades de red, que son denominadas Capas de Seguridad. La Arquitectura de Seguridad define tres Capas de Seguridad: 1) Capa de Seguridad de Infraestructura. 2) Capa de Seguridad de Servicios. 3) Capa de Seguridad de Aplicaciones. Estas capas están construidas unas sobre otras para proporcionar soluciones basadas en red.
Capas de Seguridad La Arquitectura de Seguridad se ocupa del hecho que cada Capa de Seguridad tiene diferentes vulnerabilidades de seguridad, y ofrece la flexibilidad de contrarrestar las amenazas potenciales de la manera más adecuada para una Capa de Seguridad particular.
Aplicación de las Dimensiones de la Seguridad a las Capas de Seguridad Seguridad de la Infraestructura Seguridad de las Aplicaciones Seguridad de los Servicios Capas de Seguridad Control de Acceso Autenticación Confidencialidad de los Datos Seguridad de la Comunicación Integridad de los Datos Disponibilidad Privacidad No repudio AMENAZAS ATAQUES 8 Dimensiones de la Seguridad Destrucción Corrupción Pérdida Revelación Interrupción VULNERABILIDADES
Capa de Seguridad de Infraestructura La Capa de Seguridad de Infraestructura consiste de las facilidades de transmisión de red y también de los elementos de red individuales protegidos por las Dimensiones de la Seguridad. La Capa de Infraestructura representa los bloques constituyentes fundamentales de las redes, sus servicios y aplicaciones. Ejemplos de componentes pertenecientes a la Capa de Infraestructura: enrutadores, conmutadores y servidores individuales; enlaces de comunicación entre los enrutadores, conmutadores y servidores individuales.
Capa de Seguridad de Servicios La Capa de Seguridad de Servicios se ocupa de la seguridad de los servicios que los Proveedores de Servicio suministran a sus clientes. La Capa de Seguridad de Servicios es usada para proteger a los Proveedores de Servicio y sus clientes, pues ambos son objetivos potenciales de amenazas a la seguridad. Por ejemplo, los agresores pueden intentar anular la capacidad de un Proveedor de Servicio para ofrecer los servicios, o pueden intentar interrumpir el servicio para un cliente individual del Proveedor de Servicio (p. ej., una corporación).
Capa de Seguridad de Aplicaciones La Capa de Seguridad de Aplicaciones se centra en la seguridad de las aplicaciones basadas en red a las que acceden los clientes de un Proveedor de Servicio. En esta capa existen cuatro objetivos potenciales para los ataques a la seguridad: La aplicación de usuario. El proveedor de la aplicación. La intermediación proporcionada por terceras partes en el rol de integradores (p. ej., servicios de hosting de sitios web). El Proveedor de Servicio.
Planos de Seguridad Un Plano de Seguridad es un cierto tipo de actividad de red protegida por las Dimensiones de la Seguridad. La Arquitectura de Seguridad define tres Planos de Seguridad para representar los tres tipos de actividades protegidas que tienen lugar en una red: 1) Plano de Gestión. 2) Plano de Control. 3) Plano de Usuario Extremo. Estos Planos de Seguridad se ocupan de las necesidades de seguridad específicas asociadas con las actividades de gestión de red, actividades de control de red o señalización, y actividades de usuario extremo, respectivamente.
Arquitectura de Seguridad para la Seguridad de Red de Extremo a Extremo (Gp:) Plano de Gestión
(Gp:) Plano de Control
VULNERABILIDADES (Gp:) Control de Acceso (Gp:) Autenticación (Gp:) Confidencialidad de los Datos (Gp:) Seguridad de la Comunicación (Gp:) Integridad de los Datos (Gp:) Disponibilidad (Gp:) Privacidad (Gp:) No repudio
8 Dimensiones de la Seguridad (Gp:) AMENAZAS (Gp:) ATAQUES (Gp:) Destrucción (Gp:) Corrupción (Gp:) Pérdida (Gp:) Revelación (Gp:) Interrupción
(Gp:) Plano de Usuario Extremo
(Gp:) Seguridad de la Infraestructura (Gp:) Seguridad de las Aplicaciones (Gp:) Seguridad de los Servicios (Gp:) Capas de Seguridad
Plano de Seguridad de Gestión El Plano de Seguridad de Gestión se ocupa de la protección de las siguientes actividades: Funciones de OAM&P de los elementos de red. El Plano de Seguridad de Gestión soporta las funciones de Fallas, Capacidad, Administración, Provisión, y Seguridad (Fault, Capacity, Administration, Provisioning, and Security, FCAPS). La red que transporta el tráfico para estas actividades puede estar «dentro de banda» o «fuera de banda» con respecto al tráfico de usuario del Proveedor de Servicio. Facilidades de transmisión. Sistemas de Back-Office: Sistemas de Soporte de Operaciones (Operations Support Systems, OSS), Sistemas de Soporte de Negocio (Business Support Systems, BSS), Sistemas de Atención al Cliente (Customer Care Systems), etc., Centros de datos (Data Center).
Plano de Seguridad de Control El Plano de Seguridad de Control se ocupa de la protección de las actividades que permiten la entrega eficiente de información, servicios y aplicaciones a través de la red. Involucra típicamente comunicación de información entre máquinas (p. ej., conmutadores o enrutadores) que les permite determinar cómo enrutar o conmutar mejor el tráfico a través de la red de transporte subyacente. Este tipo de información es denominado algunas veces como información de control o señalización. La red que transporta estos tipos de mensajes puede estar «dentro de banda» o «fuera de banda» con respecto al tráfico de usuario del Proveedor de Servicio. Ejemplos de tráfico de control o señalización: protocolos de enrutamiento («dentro de banda»), DNS, SIP, Megaco/H.248, SS7 («fuera de banda»), etc.
Plano de Seguridad de Usuario Extremo El Plano de Seguridad de Usuario Extremo se ocupa de la seguridad del acceso y uso de la red del Proveedor de Servicio por los clientes. Este plano representa también los flujos de datos de usuario extremo reales. Los usuarios extremos pueden usar una red que sólo proporciona conectividad, pueden usarla para servicios de valor agregado tales como VPNs, o pueden usarla para acceder a aplicaciones basadas en red.
| Página siguiente |