La nube se prepara para enfrentar el reto de la seguridad

La nube se ha convertido en arquitectura esencial de Internet para empresas. En grado cada vez mayor, CIOs y CTOs ven la nube no s贸lo como una forma m谩s costo-eficaz de instalar capacidad de c贸mputo y almacenamiento que en centros de datos tradicionales, sino tambi茅n como una forma mejor de hacerlo. HyTrust, NSS Labs, Spirent, VMware y Wedge Networks dialogan sobre el tema.

La nube se ha convertido en arquitectura esencial de Internet para empresas. En grado cada vez mayor, CIOs y CTOs ven la nube no s贸lo como una forma m谩s costo-eficaz de instalar capacidad de c贸mputo y almacenamiento que en centros de datos tradicionales, sino tambi茅n 聽como una forma mejor de hacerlo. Los servicios en la nube pueden ser m谩s escalables que los servidores f铆sicos en racks corporativos y, a la vez, ser colocados m谩s cerca de los clientes. 驴Cu谩l es el desaf铆o entonces? Asegurar la cadena de servicios, de principio a fin. No s贸lo se trata de impedir que los 鈥渃hicos malos鈥 hackeen los servidores web o bases de datos online; sino asegurarse de que el malware no fluya de un centro de datos a otro, o desde dispositivos de usuario final (como smartphones o laptops) mediante redes WiFi p煤blicas o redes de datos m贸viles, hacia la nube.

La industria de la nube se est谩 preparando para enfrentar el reto de la seguridad. Iben Rodr铆guez, Director de Pruebas de Nube y Virtualizaci贸n en NSS Labs, se refiere a un tema espec铆fico: Definir un per铆metro de seguridad en el mundo de Bring Your Own Device (BYOD o traiga su propio dispositivo).

鈥淧ara la empresa tradicional con un per铆metro s贸lido, dispon铆amos de un modelo de seguridad cuya finalidad era proteger la propiedad sensible al interior de la red鈥, indica Rodr铆guez. 鈥淓sto pudo haber funcionado bien cuando s贸lo se trataba de comprar un cortafuegos y algunas soluciones de detecci贸n de intrusiones, pero ahora, con la nube y la virtualizaci贸n, tienes datos repartidos por todo el mundo, y gente utilizando dispositivos m贸viles, BYOD. 驴C贸mo colocas un cortafuegos en torno a todo eso? Ya no es posible鈥.

Hongwen Zhang, CEO de la firma de seguridad Wedge Networks, se centra en los puntos de entrada y de salida de la nube como una excelente oportunidad para la implementaci贸n de controles de seguridad en la nube. “Con la fusi贸n de centros de centros de datos y en la nube, vemos un muy buen lugar donde la seguridad puede centralizarse. Estamos hablando de m谩s conexiones que van hacia la nube – y si podemos asegurar esta parte, estar铆amos asegurando la vida digital de todo el planeta”, explic贸.

Mediante la aplicaci贸n de virtualizaci贸n de funciones de red para la seguridad, Wedge ha sido pionera en la entrega de seguridad como un servicio el谩stico e incrustado dentro de la red de la nube. Inserta decisiones de gran complejidad sobre seguridad, en tiempo real, directamente en la estructura de los switches para conseguir una “conexi贸n limpia” que asegura los contenidos que llegan hacia y desde la nube. Construido para redes definidas por software, es autoescalable con la carga de la red.

“El conjunto de m煤ltiples proveedores a帽ade complejidad a las preocupaciones derivadas de la seguridad en la nube, que van mucho m谩s all谩 de lo que encontrar铆as en un centro de datos t铆pico”, dijo Dennis Moreau, Senior Engineering Architect para Seguridad Definida por Software en VMware, una de las empresas l铆deres en la virtualizaci贸n y la industria de la nube.

“Ya sea se trate de cortafuegos para aplicaciones web, cortafuegos de pr贸xima generaci贸n, sistemas IPS, detecci贸n en sandbox de amenazas avanzadas, hay muchos, muchos proveedores y soluciones”, dijo Moreau. “En tales circunstancias, en ninguna parte funciona mejor la propuesta de valor de la nube que al presentar ya sea objetivos del malware o sus vectores de distribuci贸n a los puntos finales. Lo que falta en esta circunstancia es una forma efectiva de hacer frente a la complejidad que se produce al hacerlo. La complejidad proviene de varios lugares. Cuando traemos la nube a la discusi贸n sobre el centro de datos, estamos incorporando a varios proveedores al esquema. Usted ya no est谩 aprovisionando de la misma forma que habr铆a ocurrido en un centro de datos empresarial operado en instalaciones propias”.

Eso requiere la coordinaci贸n de m煤ltiples actores, dijo – y de sus pol铆ticas, que pueden superponerse, y que incluso podr铆an entrar en conflicto. “Tenemos que extraer la complejidad”, dijo Moreau. “El principal problema es, entonces, la arquitectura para poder implementar protecciones, mantenerlas alineadas sin importar el movimiento y siendo capaces de dar contexto suficiente para tener un resultado accionable de todos los registros, que me dir谩n qu茅 est谩 funcionando mal, y d贸nde. Si yo carezco de ese contexto, no voy a ser capaz de moverme. ”

Seg煤n Paul To, el enfoque de seguridad de capas m煤ltiples es el correcto, a pesar de la proliferaci贸n de diferentes proveedores, diferentes tecnolog铆as y diferentes soluciones que encontrar谩s en la nube – o en soluciones que abarcan m煤ltiples nubes, operadores y proveedores de servicios. To, que es Director de SDN y Cloud en el fabricante de herramientas de pruebas Spirent Communications, dijo: “Los chicos de seguridad siempre hablan de la defensa por capas; mapea este enfoque por capas a lo que est谩 ocurriendo en el mundo de las redes definidas por software, donde todo se virtualiza y entonces todo llega a ser programable. Cada una de las capas horizontales, en la capa de computaci贸n, en la capa de almacenamiento, capa superior y capa base, cada una de esas capas horizontales tiene capacidad de programaci贸n. Uno de los principales objetivos de toda la nueva arquitectura es separar planos los planos abstractos de los planos de control, etc.”

Para continuar, “cada una de estas capas puede convertirse en un motor de aplicaci贸n de pol铆ticas coordinadas. Cada capa individual, para ser paralela a la defensa por niveles, que podr铆a ser necesario en una situaci贸n determinada. Desde el punto de vista de la aplicaci贸n y an谩lisis, cada una de estas capas puede proporcionar la inteligencia necesaria para hacer la evaluaci贸n de amenazas y detecci贸n de intrusiones”.

Esta coordinaci贸n est谩 en el futuro, se apresur贸 a a帽adir To. “Hay una gran oportunidad al ver c贸mo orquestar todas esas capas. Hay una gran oportunidad para la industria, y para los diferentes actores de las diferentes capas, para trabajar verdaderamente juntos para proporcionar una soluci贸n de seguridad coherente”.

El paso a las redes y TI virtualizadas y basadas en la nube consolida naturalmente el riesgo, movi茅ndolo desde m煤ltiples puntos de la cadena de servicios – tales como firewalls y sistemas de detecci贸n de intrusiones en los centros de datos f铆sicos – a un sistema de seguridad m谩s centralizado y orquestado. Mientras que la centralizaci贸n puede simplificar la administraci贸n y reducir los costos, la consolidaci贸n del riesgo, parad贸jicamente, puede introducir nuevos riesgos, dice Steve Pate, Arquitecto Jefe de HyTrust, una empresa de gesti贸n de seguridad en la nube.

“Hemos pasado de decenas de miles de servidores f铆sicos administrados por muchos administradores en diferentes edificios, en habitaciones con cerraduras en las puertas, al almacenamiento y computaci贸n en caja 煤nica, con miles de m谩quinas virtuales gestionadas por un 煤nico o pocos administradores”, dijo Pate. “Tenemos administradores con niveles incontrolados de poder. Tenemos que tener mucho m谩s control sobre los administradores, tenemos que entender lo que est谩n haciendo. Es preciso instaurar una regla de dos hombres y autenticaci贸n de multifactor. Tenemos toda una serie de cuestiones en torno a la virtualizaci贸n, especialmente sobre seguridad de datos, que la gente realmente no entiende”.

La encriptaci贸n es otro desaf铆o que se amplifica en un mundo basado en la nube. El cifrado es necesario, no s贸lo de las comunicaciones entre los servidores, y entre los usuarios finales y servidores, sino tambi茅n de los propios datos. Pero, 驴c贸mo cifrar la informaci贸n en la nube p煤blica y la nube privada? 驴C贸mo almacenar y asegurar las llaves? 驴C贸mo asegurarse de que las claves no sean extraviadas con el tiempo?

Pate de HyTrust explic贸 que el cifrado cambia cuando la empresa se traslada a la nube. “Tan pronto mis datos abandonan el edificio para ser trasladados a la nube p煤blica, quiero tener el control. Ahora tengo un grupo diferente de administradores que gestionan mis datos, los replican, crean copias de respaldo de ellos, y yo no s茅 de d贸nde est谩n los datos. Algunos de ellos pueden ofrecerte cifrado, pero si conservan la clave de encriptaci贸n, entonces es el equivalente a colocar tus joyas en una caja de seguridad y entregar las dos llaves al banco”.

La encriptaci贸n es un acto de equilibrio, dice To, de Spirent, entre guardarlo todo con m谩xima protecci贸n, y proporcionar acceso a servicios esenciales. “Seamos realistas, una gran cantidad de servicios en la nube necesariamente tiene que compartir los datos. Moreau de VMware estuvo de acuerdo: “Si yo cifro todo, estoy limitando la de-duplicaci贸n que podr铆a beneficiarme. Hay tensi贸n entre los requisitos de seguridad y el acceso, por lo que necesitaremos decisiones condicionadas por pol铆ticas para equilibrar estos intereses en conflicto”.

Moreau a帽ade: “Cuando cifras algo, el mecanismo de cifrado, tanto la protecci贸n de la clave, la distribuci贸n de claves, la generaci贸n de claves, todas las cosas asociadas al tema tienen que funcionar a escala, con la misma fiabilidad que el resto del sistema, ya que si se pierden las llaves … Ya puedes imaginarte el resto鈥.

Claramente, la seguridad est谩 en la mente de todos. Como HyTrust, NSS Labs, Spirent, VMware y Wedge Networks han demostrado, hoy en d铆a hay muchas excelentes soluciones disponibles para los proveedores de nube y de los consumidores en la nube. Con todo, la tecnolog铆a de seguridad est谩 evolucionando r谩pidamente, y hay muchas preguntas que hace falta responder, y muchas preguntas por hacer. En la medida que los proveedores de servicios escalan las ofertas, es de esperar que la seguridad sea parte delantera y central, junto con el costo, escalabilidad y rendimiento, en la medida que las empresas siguen su r谩pida migraci贸n hacia la nube.

Por Alan Zeichick, analista principal de Camden Associates, empresa l铆der de an谩lisis tecnol贸gico concentrada en cloud computing, desarrollo de software, redes enterprise/carrier y computaci贸n m贸vil. Camden ofrece an谩lisis para planificaci贸n estrat茅gica. La empresa tiene su sede en Silicon Valley, California, y Phoenix, Arizona. Versi贸n en espa帽ol exclusiva para Diario TI.

Ilustraci贸n: Scyther5聽漏 Shutterstock.com




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.