Análisis del paradigma fog/edge-computing desde la perspectiva de la ciberseguridad-privacidad
El paradigma fog-computing extiende la tecnología y servicios cloud computing al borde de la red. Fog- computing es similar al cloud computing (o computación en la nube) en lo relativo a proporcionar a los usuarios finales datos, inteligencia, procesamientos, almacenamientos y servicios de aplicación, pero minimizando el tiempo-latencia, el jitter, el número de saltos en el routing de red y mejorando la QoS. Actualmente los ciber-riesgos que cada día van en aumento y sofisticación a estas tecnologías deben ser abordados con rapidez, precisión y profesionalidad.
Fog-computing (F-C) terminología introducida por la compañía Cisco Systems en el 2012 y reforzada por OpenFog Consortium (para la interoperabilidad, www.openfogconsortium.org entre sus fundadores Intel, Dell, Microsoft, Cisco, ARM, Universidad de Princeton), puede verse desde muy diversas perspectivas: como una nueva tecnología, como un nuevo paradigma de computación generalizado especialmente en el contexto de la IoT/IIoT, como una nueva plataforma virtualizada, como una nueva infraestructura heterogénea (donde coexisten enlaces de alta velocidad y tecnología de acceso inalámbrica), como un nuevo interfaz, como una nueva arquitectura de computación distribuida, etc.
Esta claro que fog-computing cumple con el modelo y filosofía genérica edge-computing al llevar al borde de la red su esencia ‘nano/micro-cloud’. Estimaciones de Ericsson y Cisco para el 2020 habrá más de cincuenta billones de dispositivos conectados. Habor Research estima que para el 2020 habrá unos ocho billones de dispositivos conectados excluyendo móviles, tablets y PCs/laptops.
Fog-computing puede verse desde muy diversas perspectivas: como una nueva tecnología, como un nuevo paradigma de computación generalizado especialmente en el contexto de la IoT/IIoT, como una nueva plataforma virtualizada, como una nueva infraestructura heterogénea , como un nuevo interfaz, como una nueva arquitectura de computación distribuida, etc.
Caracterización de la tecnología edge computing
La tecnología fog-computing soporta heterogeneidad en dispositivos, ya que los dispositivos fog pueden ser dispositivos de usuario final, puntos de acceso, router y switches de borde, micro-servidores embebidos, etc. Permite que aplicaciones de billones de dispositivos conectados en la IoT/IIoT se ejecuten en el borde de la red. En fog-computing los servicios se guardan en los dispositivos finales de la red como dispositivos de usuario final (tablets, vehículos, webcams, drones, smatphones, smart-TVs, smart-electrodomésticos, relojes-inteligentes, sensores de medición de agua-luz-gas-polución, etc.), routers, switches, puntos de acceso, security appliances multi-funcionales, etc. Esta nueva infraestructura de computación distribuida posibilita que las aplicaciones se ejecuten más cerca de los datos masivos procedentes de los dispositivos y sensores. IDC (Internacional Data Corporation) ha predicho que para el 2025 casi el 45% de los datos mundiales se moverán más cerca del usuario en el borde de la red.
Así mismo IDC ha predicho que la IoT tendrá una expansión cada vez mayor en la industria IT tradicional. Fog-computing es la única arquitectura que es capaz de hacer frente a esta cantidad de datos permitiendo IoT/IIoT, 5G, inteligencia artificial, computación cognitiva, etc. Aunque para algunos autores fog-computing y edge-computing son una misma cosa, otros establecen la siguiente diferencia: fog computing necesita el uso de un nodo externo o pasarela para conectarse con la nube (es decir procesa los datos en un nodo fog o pasarela), en cambio edge computing puede procesar los datos directamente en los propios dispositivos (por ejemplo la potencia de procesamiento y capacidades de comunicación se realizan directamente en dispositivos como PLC (Programmable Logic Controller), PAC (Programmable Automation Controller) en vez de usar una pasarela y directamente se comunica con la nube. La cibersegurdad debe abordarse entre otros por los siguientes flancos: redes inalámbricas-movilidad, sistemas P2P distribuidos, virtualización, carencia de perímetro global que perjudica la ciberseguridad, carencia de protección hardware en dispositivos del tipo centros de datos miniatura como micro-servidores Raspberry Pi.
Modelos de servicio y despliegue en fog computing
Los modelos de entrega de servicios en fog computing pueden agruparse en tres clases: SaaS (Software as a Service), PaaS (Platform as a Service) e IaaS (Infrastructure as a Service). Así mismo, podemos identificar tres modelos de despliegue en fog-computing: fog privado, fog público y fog híbrido. El concepto en cloud computing de MCC (Mobile Cloud Computing) que representa una infraestructura en el que tanto el almacenamiento de datos como el procesamiento de los datos sucede fuera de los dispositivos móviles, en fog-computing recibe el apelativo de MEC (Mobile-edge-computing), en este caso se enfoca en servidores fog ricos en recursos que se ejecutan en el borde de redes móviles. En fog computing, los servicios pueden hospedarse en los dispositivos finales como puntos de acceso, set-top-boxes, micro-servidores embebidos, etc.
La infraestructura y nueva tecnología de computación distribuida fog-computing permite que las aplicaciones se ejecuten tan próximas como sea posible de los procesos, objetos, personas, datos masivos capturados por sensores. Tanto cloud-computing como fog-computing proporcionan datos, computaciones, inteligencia, almacenamiento y servicios de aplicación a los usuarios finales. Sin embargo, fog computing se distingue por su proximidad a los usuarios finales, la distribución geográfica densa y su soporte a la movilidad. Fog-computing se localiza entre cloud-computing y el borde más cercano a los end-points.
Los objetos smart se conectan a nodos fog-computing y éstos pueden interconectarse a la nube o cloud-computing. Fog computing presenta ventajas para servicios en diversos dominios como Smart Grid, WSN (Wireless Sensor Networks), IoT (Internet of Things) y un subconjunto de él que es IIoT (Industrial Internet of Things) para la Industria conectada 4.0, SDNs (Software Defined Networks). Debido a que fog-computing se implementa en el borde de la red, proporciona baja latencia, consciencia a la localización y mejora de la QoS (Quality-of-Services) para streaming y aplicaciones en tiempo real. Ejemplos de aplicación de fog-computing son automatización industrial, transportes, redes de sensores y actuadores, smart-grid, smart-cities, etc.
IDC ha predicho que la IoT tendrá una expansión cada vez mayor en la industria IT tradicional. Fog-computing es la única arquitectura que es capaz de hacer frente a esta cantidad de datos.
Arquitectura fog-computing y su correlación con superficies de ataque. Elementos en una plataforma FC
La arquitectura combinada fog-compting-cloud-computing (FC-CC) consta de tres capas (en cada una de ellas se pueden identificar diferentes superficies de ataque):
(1) La más alta es cloud-computing. Aquí se encuentra la mayor potencia de computación macro-servidores y capacidades de almacenamiento de datos.
(2) La intermedia es fog-computing. Aquí nos encontramos con los nodos fog (al borde de la red, son los elementos que implementan los servicios, pueden ser desde dispositivos con recursos escasos (caso de dispositivos finales, sensores, servidores locales) a dispositivos más potentes (como routers-switch-firewall Internet, PCs, puntos de acceso WiFi, estaciones base y torres de telefonía celular como 5G, 4,5G, 4G, 3,5G, 3G, etc., estos nodos serían pasarelas de conexión con cloud-computing).
(3) La más baja esta formada por los dispositivos extremadamente al borde de la red en general son dispositivos de escasos recursos, como vehículos, gafas y relojes inteligentes, drones, cámaras de videovigilancia CCTV/Webcams, etc.
Conceptualmente, fog-computing consta de tres componentes principales: nodos IoT/IIoT, nodos fog y cloud de back-end. Los nodos IoT/IIoT pueden ser sensores que generan datos locales. Los nodos fog son dispositivos con más potencia de computación que los nodos IoT. Los nodos IoT/IIoT se conectan a los nodos fog utilizando comunicación a corta distancia como WiFi, ZigBee, Bluetooth, LoRa, SigFox. Como es caro y consume tiempo enviar todos los datos desde los dispositivos IoT/IIoT terminales a la nube de backend a través de la red de elevada latencia (por ejemplo, Internet/IoE), la capa de nodos fog se posiciona cerca de los dispositivos IoT/IIoT y automáticamente procesa los datos en tiempo real cerca del borde de la red.
Debido a que los nodos fog disponen de más memoria o capacidad de almacenamiento para realizar la computación es posible inmediatamente procesar una cantidad significativa de datos de los nodos IoT/IIoT. Dichos datos y cálculos que necesitan más potencia de computación se envían a la nube de backend desde los nodos fog a través de comunicación inalámbrica o cableada de alta velocidad (fibra óptica/cobre). Se genera información consciente a la situación y contextual analizando los datos recogidos desde los dispositivos. Analizando los datos basados en información de situación, puede proporcionar servicios más especializados a los usuarios. Puede predecir posibles futuras situaciones que ayuden a los usuarios a tomar decisiones. La arquitectura fog computing se ubica entre el núcleo de la red (cloud-computing con los supercentros de datos) y el borde de la red de más bajo nivel donde se encuentran los dispositivos físicos muchas veces en localizaciones diferentes.
En esta estructura, en la parte más al borde de la red nos encontramos con la comunicación máquina a máquina (M2M), donde la red de dispositivos y objetos inteligentes (vehículos, PLCs, smartphones, servidores, PCs, puntos de acceso con firewall WiFi, etc.) permite la interacción entre los usuarios. En esta capa pueden identificarse miles de millones de sistemas embebidos y sensores con bajo ancho de banda y reducidas capacidades de fuente de alimentación.
Por encima de fog-computing nos encontramos con la visualización y generación de informes, proporciona acceso local mediante caché de ficheros locales; esta capa esta representada por la nube (inteligencia centralizada) que conecta con los supercentros de datos y super-servidores de la nube. Los elementos-componentes principales de toda plataforma FC (formada por nodos fog-computing (donde se identifican máquinas virtuales y aplicaciones) y donde van apareciendo día a día un sin fin de diferentes categorías de vulnerabilidades y amenazas) pueden ordenarse en capas desde abajo hacia arriba:
(1) Capa inferior o capa del hardware. Es la base de la infraestructura donde se localiza el hardware con circuitos integrados, discos, tarjetas, micro-servidores, etc.
(2) Capa de virtualización. Donde se encuentran las máquinas virtuales.
(3) Capa mixta. Donde se ubican el monitor del sistema, la gestión de red (con sus cinco sub-capas de gestión de configuración, gestión de fallos, gestión de rendimiento, gestión de seguridad de la información de gestión y gestión de contabilidad), la planificación de máquinas virtuales, el balanceador de carga, etc.
(4) Capa de APIs (Interfaz de Programas de Aplicación). Esta capa establece el interfaz con la capa 5. (5) Capa de servicios de la plataforma. Esta capa permite la conexión tanto con el usuario final (donde existen muy diversos dispositivos (formados por hardware, sistema operativo y aplicaciones/APPs) como smartphone, tablets, PCs, smart-watch, smart-gafas, smart-electrodomésticos, etc.) como nodos sensores (formados por hardware, sistema operativo, cliente de poco peso) como lectores de sensores, GPS, giróscopos, video-vigilancia, audio-vigilancia, etc. En esta capa se pueden identificar diferentes módulos: servicios de comunicación (para la comunicación los nodos sensor y los usuarios finales), servicios de localización, gestión de servicios, AAA (autenticación, autorización y registro/accountability), gestión sobrecargas y agente de la nube (para la comunicación con la nube).
Por encima de fog-computing nos encontramos con la visualización y generación de informes, proporciona acceso local mediante caché de ficheros locales.
Ciberseguridad-privacidad en fog-computing
Según OWASP (Open Web Application Security Project) los principales puntos de vulnerabilidad y superficies de ataque en entornos IoT/IIoT con su vinculación a fog-computing son:
(1) Inseguridad Web. Identificación, autenticación, autorización y trazabilidad insuficiente, confidencialidad, integridad y disponibilidad deficiente. En este entorno se deberían implantar medidas de protección de datos eficaces.
(2) Problemas de privacidad, ecosistema de nube no seguro, ecosistema de movilidad no seguro, carencia de cifrado-esteganografía en el transporte de información y servicios de red no seguros. En este entorno se debería implantar medidas de protección de red incluso contra el análisis de tráfico cifrado.
(3) Software-firmware no seguro. En este entorno se debería implantar medidas de protección en software y en firmware (auditoría estáticas y dinámicas de diseño, código, configuración e implementación).
(4) Seguridad física/hardware deficiente. En este entorno se deberían implantar medidas de protección a nivel de dispositivo y tecnología PUF anti-falsificación. Todo modelo de amenazas define las amenazas que tienen que ser consideradas y aquellas que no. Un ataque es una instancia de una amenaza, que viola las propiedades de seguridad de un sistema (como confidencialidad, integridad, disponibilidad, autenticación, no repudio, trazabilidad, frescura de información, control de acceso, etc.). Se debe tener siempre presente el costo en relación al beneficio a la hora de implantar medidas de seguridad. Una política de seguridad especifica qué o quién puede acceder a qué recurso bajo qué condiciones. Los mecanismos de seguridad sirven para implementar las políticas de seguridad. El responsable de mantener las políticas de seguridad es el componente trusted (de confianza).
La confianza (trust) debe estar en la raíz del hardware (establecido en el encendido del sistema en base a hardware root-of-trust extensible a chain-of-trust). Fidedigno es aquello diseñado para ser seguro. TCB (Trusted Computing Base) es el hardware, software, firmware y componentes de red que deben ser tanto correctos como no corrompibles para poder asegurar que la política de seguridad no se viole. TEE (Trusted Execution Environment) es un área segura de almacenamiento de procesador que garantiza que el código y los datos allí localizados se encuentren protegidos (por ejemplo, respecto a confidencialidad, integridad, disponibilidad, etc.). AAA es sinónimo de control de acceso que a su vez integra:
(1) Identificación (¿quién es Vd.?), autenticación (demuestre que Vd. es quien dice ser). Autentica humano a máquina y máquina a máquina. La autenticación debería ser multi-factor (lo que uno sabe, lo que uno transporta, lo que uno es biometría humana PUF hardware, ¿dónde se encuentra?, ¿qué hora es?) y mutua entre las dos entidades.
(2) Autorización (¿qué se le permite hacer a Vd.?) significa quién puede hacer qué cosas (operaciones, acciones, tareas, etc.) a qué objeto.
(3) Accountability, significa trazabilidad y registro de todas las acciones y operaciones que realiza toda entidad, sujeto o principal.
La privacidad es el derecho a decidir cómo se utilizará la información de uno (aquí se integra el anonimato, la no geolocalización, la no revelación de secretos, la no revelación de lo que se hace con los datos, etc.). Privacidad no es lo mismo que confidencialidad (a la confidencialidad sólo le preocupa prevenir la revelación no autorizada de información, por ejemplo, la tecnología VPN (Virtual Private Network) no protege la privacidad al dejar en texto en claro las direcciones origen y destino). La privacidad es una propiedad de los datos y se construye por encima de la seguridad.
Tecnologías de vanguardia para la defensa de fog-computing
Las tecnologías denominadas por Gartner como plataformas distribuidas de engaño o DDP (Deception Distributed Platforms) son una de las herramientas de vanguardia de cara a defenderse contra atacantes cada vez más sofisticados, con más recursos y dotados de un arsenal de armas de ciberataque inconmensurable. Las tecnologías de engaño se caracterizan por el uso de señuelos, falsedades, avatares virtualizados de desorientación, tutores my-me caóticos y/o trucos diseñados para protegerse contra procesos cognitivos del atacante, trastornar-interrumpir-frustrar las herramientas automatizadas del atacante, retardar las actividades del atacante o trastornar la progresión de una penetración/brecha.
Por ejemplo, las capacidades de engaño permiten crear dinámicamente (identidades, vulnerabilidades, conexiones, zonas compartimentadas VLAN, avatares de magia positiva, credenciales, computadores, vectores de ataque, zonas de almacenamiento y de código, aplicaciones, sistemas, zonas desmilitarizadas (DMZs), máquinas virtuales, dominios, partes, acciones, comparticiones, cookies, etc.) falsas que el atacante tratará de atacar en vano. Si un atacante intenta atacar estos recursos falsos, es un indicador robusto de que esta en progreso un ataque real. Un usuario legítimo-autorizado no debería poder ver o tratar de acceder a estos recursos engañosos o señuelos. Las tecnologías de engaño están emergiendo para todo tipo de redes, aplicaciones, datos y fog-computing.
Entre las técnicas utilizadas por las tecnologías de engaño en servicio de la ciberseguridad por ejemplo en fog-computing figuran una combinación de señuelos honeypot-honeynets, trap-intruders, camuflaje, ocultación, generación de espejismos creíbles, falsedades que parecen ciertas, desinformación convincente, imágenes distorsionadas, contra-inteligencia, contra-espionaje, contra ingeniería social, ingeniería inversa, guía-control inversa de acciones maliciosas, recursos falsos replicados, dar la idea y la percepción de que es cierto cuando en realidad es un engaño, visualizar tramas, crear confusión y difusión, generar espacios virtuales y de realidad aumentada basados en sandboxes anidadas con DMZs ocultas. Por ejemplo, podemos crear y hacer creer que existen N conexiones realizadas, aunque en realidad de todas ellas N-1 sean falsas. Podemos crear credenciales falsas de engaño y reales para usuarios y administrador, etc.
Así por ejemplo si en una red de K máquinas de computación puede haber 2K vectores de ataque, aplicando las tecnologías de engaño podría haber 5K computadores y el número de vectores de ataque habría crecido por ejemplo a 15K, dificultando al atacante encontrar el objetivo real de su ataque. Según el informe ‘Ponemon Institute Cost of Malware Containment Report' del 2015 se reciben como media a una organización 16.937 alertas a la semana a través de controles de seguridad y de ellas el 19% son fiables. Gartner predice para el año 2018 que el 10% de las empresas utilizará herramientas, plataformas y tácticas de engaño y participarán en operaciones de engaño contra atacantes.
Como media se reciben en una organización 16.937 alertas a la semana a través de controles de seguridad y de ellas el 19% son fiables.
Consideraciones finales
Fog computing emerge como un interfaz entre cloud computing y las soluciones basadas en IoT/IIoT, así mismo representa una tecnología de vanguardia para realizar operaciones distribuidas al borde de la red. Sin duda alguna fog computing pone los servicios y recursos de la nube más cerca de los usuarios lo que facilita la influencia de los servicios y recursos disponibles en el borde de la red. Fog computing mueve los servicios y recursos del núcleo (super-centros de datos de la nube) al borde de la red más próximos del usuario. Ayuda a ejecutar aplicaciones en tiempo real al borde de la red directamente utilizando ingentes cantidades de dispositivos móviles conectados.
Las cuestiones de ciberseguridad-privacidad son una asignatura pendiente ya que se extienden a diversas áreas como transferencias de información atacadas por análisis de tráfico aunque se encuentren cifradas, almacenamiento de datos con protección deficiente, cuestiones de identificación-autenticación insuficientes, aspectos de autorización y políticas administrativas poco cuidadas y fiables, computación multi-parte no segura, seguridad de red débil, privacidad tanto de datos, como de utilización y como de localización deficiente, integridad de dispositivos físicos que no sean suplantados (caso de una cámara de video) muy deficiente, como contramedidas utilizar por ejemplo tecnología PUF basada en huellas hardware, etc. Por el hecho de estar fog-computing en conexión con cloud-computing los riesgos en ciberseguridad-privacidad sobre cloud-computing pueden transferirse de forma grave sobre fog-computing. A ésta aún le queda recorrido en cuanto a su protección en ciberseguridad-privacidad.
Referencias
- Areitio, J. 'Seguridad de la Información: Redes, Informática y Sistemas de Información'. Cengage Learning-Paraninfo. 2017.
- Areitio, J. 'Identificación y análisis de cuestiones de ciberseguridad en torno a ecosistemas cloud computing'. Revista Eurofach Electrónica. Nº 418. Abril 2013.
- Areitio, J. 'Análisis del paradigma Big-Data desde la perspectiva de la ciberseguridad'. Revista Eurofach Electrónica. Nº 428. Abril 2014.
- Areitio, J. 'Complejidad de los elementos y procesos de seguridad-privacidad de la información'. Revista Eurofach Electrónica. Nº 453. Octubre 2016.
- Areitio, J. 'Protección contra ciber-ataques en la IoE basada en la tipificación de vulnerabilidades'. Revista Eurofach Electrónica. Nº 454. Noviembre 2016.
- Rahmani, A.M., Liljeberg, P., Preden, J-S and Jantsch, A, 'Fog-Computing in the Internet of Things: Intelligence at the Edge'. Springer. 2017.
- Brooks, C.J., Craig, P. and Short, D. 'Cybersecurity Essentials'. Sybex. 2017.
- Whitman, M.E. and Mattord, H.J. 'Principles of Information Security'. Cengage Learning. 2017. - Hsing, R.T., Lau, V.K.N. Lau and Chiang, M. “Fog for 5G and IoT”. Wiley. 2017.
- Goodrich, M. and Tamassia, R. 'Introduction to Computer Security'. 2017.
- Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
- Musa, S.M. 'Network Security and Cryptography'. Mercury Learning and Information. 2017.
- Landau, S. 'Listening In: Cybersecurity in an Insecure Age'. Yale University Press. 2017.
- Gupta, P.K., Tyagi, V. and Singh, S.K. Predictive Computing and Information Security. Springer. 2017.
- Ellis, R. and Mohan, V. 'Rewired: The Past, Present and Future of Cybersecurity'. Wiley. 2017.
- Markakis, E., Mastorakis, G., Mavromoustakis, C.X. and Pallis, E. 'Cloud and Fog Computing in 5G Mobile Networks'. IET (The Institution of Engineering and Technology). 2017.
- Chang, C-H and Potkonjak, M. 'Secure Systems Design and Trustable Computing'. Springer. 2015