La nube se ha convertido en arquitectura esencial de Internet para empresas. En grado cada vez mayor, CIOs y CTOs ven la nube no sólo como una forma más costo-eficaz de instalar capacidad de cómputo y almacenamiento que en centros de datos tradicionales, sino también como una forma mejor de hacerlo. Los servicios en la nube pueden ser más escalables que los servidores físicos en racks corporativos y, a la vez, ser colocados más cerca de los clientes. ¿Cuál es el desafío entonces? Asegurar la cadena de servicios, de principio a fin. No sólo se trata de impedir que los “chicos malos” hackeen los servidores web o bases de datos online; sino asegurarse de que el malware no fluya de un centro de datos a otro, o desde dispositivos de usuario final (como smartphones o laptops) mediante redes WiFi públicas o redes de datos móviles, hacia la nube.
La industria de la nube se está preparando para enfrentar el reto de la seguridad. Iben Rodríguez, Director de Pruebas de Nube y Virtualización en NSS Labs, se refiere a un tema específico: Definir un perímetro de seguridad en el mundo de Bring Your Own Device (BYOD o traiga su propio dispositivo).
“Para la empresa tradicional con un perímetro sólido, disponíamos de un modelo de seguridad cuya finalidad era proteger la propiedad sensible al interior de la red”, indica Rodríguez. “Esto pudo haber funcionado bien cuando sólo se trataba de comprar un cortafuegos y algunas soluciones de detección de intrusiones, pero ahora, con la nube y la virtualización, tienes datos repartidos por todo el mundo, y gente utilizando dispositivos móviles, BYOD. ¿Cómo colocas un cortafuegos en torno a todo eso? Ya no es posible”.
Hongwen Zhang, CEO de la firma de seguridad Wedge Networks, se centra en los puntos de entrada y de salida de la nube como una excelente oportunidad para la implementación de controles de seguridad en la nube. “Con la fusión de centros de centros de datos y en la nube, vemos un muy buen lugar donde la seguridad puede centralizarse. Estamos hablando de más conexiones que van hacia la nube – y si podemos asegurar esta parte, estaríamos asegurando la vida digital de todo el planeta”, explicó.
Mediante la aplicación de virtualización de funciones de red para la seguridad, Wedge ha sido pionera en la entrega de seguridad como un servicio elástico e incrustado dentro de la red de la nube. Inserta decisiones de gran complejidad sobre seguridad, en tiempo real, directamente en la estructura de los switches para conseguir una “conexión limpia” que asegura los contenidos que llegan hacia y desde la nube. Construido para redes definidas por software, es autoescalable con la carga de la red.
“El conjunto de múltiples proveedores añade complejidad a las preocupaciones derivadas de la seguridad en la nube, que van mucho más allá de lo que encontrarías en un centro de datos típico”, dijo Dennis Moreau, Senior Engineering Architect para Seguridad Definida por Software en VMware, una de las empresas líderes en la virtualización y la industria de la nube.
“Ya sea se trate de cortafuegos para aplicaciones web, cortafuegos de próxima generación, sistemas IPS, detección en sandbox de amenazas avanzadas, hay muchos, muchos proveedores y soluciones”, dijo Moreau. “En tales circunstancias, en ninguna parte funciona mejor la propuesta de valor de la nube que al presentar ya sea objetivos del malware o sus vectores de distribución a los puntos finales. Lo que falta en esta circunstancia es una forma efectiva de hacer frente a la complejidad que se produce al hacerlo. La complejidad proviene de varios lugares. Cuando traemos la nube a la discusión sobre el centro de datos, estamos incorporando a varios proveedores al esquema. Usted ya no está aprovisionando de la misma forma que habría ocurrido en un centro de datos empresarial operado en instalaciones propias”.
Eso requiere la coordinación de múltiples actores, dijo – y de sus políticas, que pueden superponerse, y que incluso podrían entrar en conflicto. “Tenemos que extraer la complejidad”, dijo Moreau. “El principal problema es, entonces, la arquitectura para poder implementar protecciones, mantenerlas alineadas sin importar el movimiento y siendo capaces de dar contexto suficiente para tener un resultado accionable de todos los registros, que me dirán qué está funcionando mal, y dónde. Si yo carezco de ese contexto, no voy a ser capaz de moverme. ”
Según Paul To, el enfoque de seguridad de capas múltiples es el correcto, a pesar de la proliferación de diferentes proveedores, diferentes tecnologías y diferentes soluciones que encontrarás en la nube – o en soluciones que abarcan múltiples nubes, operadores y proveedores de servicios. To, que es Director de SDN y Cloud en el fabricante de herramientas de pruebas Spirent Communications, dijo: “Los chicos de seguridad siempre hablan de la defensa por capas; mapea este enfoque por capas a lo que está ocurriendo en el mundo de las redes definidas por software, donde todo se virtualiza y entonces todo llega a ser programable. Cada una de las capas horizontales, en la capa de computación, en la capa de almacenamiento, capa superior y capa base, cada una de esas capas horizontales tiene capacidad de programación. Uno de los principales objetivos de toda la nueva arquitectura es separar planos los planos abstractos de los planos de control, etc.”
Para continuar, “cada una de estas capas puede convertirse en un motor de aplicación de políticas coordinadas. Cada capa individual, para ser paralela a la defensa por niveles, que podría ser necesario en una situación determinada. Desde el punto de vista de la aplicación y análisis, cada una de estas capas puede proporcionar la inteligencia necesaria para hacer la evaluación de amenazas y detección de intrusiones”.
Esta coordinación está en el futuro, se apresuró a añadir To. “Hay una gran oportunidad al ver cómo orquestar todas esas capas. Hay una gran oportunidad para la industria, y para los diferentes actores de las diferentes capas, para trabajar verdaderamente juntos para proporcionar una solución de seguridad coherente”.
El paso a las redes y TI virtualizadas y basadas en la nube consolida naturalmente el riesgo, moviéndolo desde múltiples puntos de la cadena de servicios – tales como firewalls y sistemas de detección de intrusiones en los centros de datos físicos – a un sistema de seguridad más centralizado y orquestado. Mientras que la centralización puede simplificar la administración y reducir los costos, la consolidación del riesgo, paradójicamente, puede introducir nuevos riesgos, dice Steve Pate, Arquitecto Jefe de HyTrust, una empresa de gestión de seguridad en la nube.
“Hemos pasado de decenas de miles de servidores físicos administrados por muchos administradores en diferentes edificios, en habitaciones con cerraduras en las puertas, al almacenamiento y computación en caja única, con miles de máquinas virtuales gestionadas por un único o pocos administradores”, dijo Pate. “Tenemos administradores con niveles incontrolados de poder. Tenemos que tener mucho más control sobre los administradores, tenemos que entender lo que están haciendo. Es preciso instaurar una regla de dos hombres y autenticación de multifactor. Tenemos toda una serie de cuestiones en torno a la virtualización, especialmente sobre seguridad de datos, que la gente realmente no entiende”.
La encriptación es otro desafío que se amplifica en un mundo basado en la nube. El cifrado es necesario, no sólo de las comunicaciones entre los servidores, y entre los usuarios finales y servidores, sino también de los propios datos. Pero, ¿cómo cifrar la información en la nube pública y la nube privada? ¿Cómo almacenar y asegurar las llaves? ¿Cómo asegurarse de que las claves no sean extraviadas con el tiempo?
Pate de HyTrust explicó que el cifrado cambia cuando la empresa se traslada a la nube. “Tan pronto mis datos abandonan el edificio para ser trasladados a la nube pública, quiero tener el control. Ahora tengo un grupo diferente de administradores que gestionan mis datos, los replican, crean copias de respaldo de ellos, y yo no sé de dónde están los datos. Algunos de ellos pueden ofrecerte cifrado, pero si conservan la clave de encriptación, entonces es el equivalente a colocar tus joyas en una caja de seguridad y entregar las dos llaves al banco”.
La encriptación es un acto de equilibrio, dice To, de Spirent, entre guardarlo todo con máxima protección, y proporcionar acceso a servicios esenciales. “Seamos realistas, una gran cantidad de servicios en la nube necesariamente tiene que compartir los datos. Moreau de VMware estuvo de acuerdo: “Si yo cifro todo, estoy limitando la de-duplicación que podría beneficiarme. Hay tensión entre los requisitos de seguridad y el acceso, por lo que necesitaremos decisiones condicionadas por políticas para equilibrar estos intereses en conflicto”.
Moreau añade: “Cuando cifras algo, el mecanismo de cifrado, tanto la protección de la clave, la distribución de claves, la generación de claves, todas las cosas asociadas al tema tienen que funcionar a escala, con la misma fiabilidad que el resto del sistema, ya que si se pierden las llaves … Ya puedes imaginarte el resto”.
Claramente, la seguridad está en la mente de todos. Como HyTrust, NSS Labs, Spirent, VMware y Wedge Networks han demostrado, hoy en día hay muchas excelentes soluciones disponibles para los proveedores de nube y de los consumidores en la nube. Con todo, la tecnología de seguridad está evolucionando rápidamente, y hay muchas preguntas que hace falta responder, y muchas preguntas por hacer. En la medida que los proveedores de servicios escalan las ofertas, es de esperar que la seguridad sea parte delantera y central, junto con el costo, escalabilidad y rendimiento, en la medida que las empresas siguen su rápida migración hacia la nube.
Por Alan Zeichick, analista principal de Camden Associates, empresa líder de análisis tecnológico concentrada en cloud computing, desarrollo de software, redes enterprise/carrier y computación móvil. Camden ofrece análisis para planificación estratégica. La empresa tiene su sede en Silicon Valley, California, y Phoenix, Arizona. Versión en español exclusiva para Diario TI.
–
Ilustración: Scyther5 © Shutterstock.com
