Inicio Articulos. Seguridad en la nube: una responsabilidad compartida

Seguridad en la nube: una responsabilidad compartida

nube-cloud-seguridad-usuario

El éxito de la nube

La computación en la nube (o Cloud Computing) ofrece aplicaciones rentables, económicas y fáciles de usar. El Cloud conoce un éxito creciente y las posibilidades que aporta este nuevo paradigma parecen sin fin y ofrecen al usuario una comodidad nunca vista.

Gartner predice que de aquí a 2020, el ingreso proveniente de los proveedores de IaaS y PaaS va a alcanzar los 55,000 millones de dólares (y superar las ventas de servidores).

Las ventajas son múltiples:

  • Ahorro: la nube significa una reducción de inversión de capital y costos operativos. Además, la empresa utiliza exactamente lo que necesita y paga por lo que consume.
  • Agilidad: las empresas pueden ofrecer nuevos servicios de manera mucho más rápida y sencilla que con una infraestructura tradicional.
  • Facilidad: el rompecabezas de dimensionamiento de una infraestructura tradicional no existe en la nube, las aplicaciones aprovechan la escalabilidad de la infraestructura, esencia misma del Cloud.
  • Movilidad: un acceso remoto incomparable desde la oficina, la casa, un dispositivo móvil, etc.

 

Sin embargo, lo anterior no significa que la transición hacia la nube se puede hacer de manera tan sencilla. Adoptar el Cloud es también aceptar hacer esfuerzos importantes y cambiar su manera de ver las cosas en principios fundamentales de la computación, a veces de los más sensibles. La seguridad es parte de los temas más críticos cuando se trata de sistemas y el Cloud vino a perturbar fuertemente las costumbres y maneras de trabajar.

 

Nube y seguridad

De manera nativa, la nube ofrece ventajas significantes cuando se trata de seguridad:

  • Las medidas de seguridad son más baratas cuando se aplican a gran escala. Podemos considerar que un proveedor de servicio en la nube puede invertir en sistema de seguridad que un solo cliente difícilmente puede permitirse.
  • Las ubicaciones múltiples proveen una mejor disponibilidad. Los proveedores en nube cuentan con los recursos económicos necesarios para replicar el contenido en ubicaciones múltiples, aumentando la redundancia y la independencia de los errores. En caso de desastre o de ataque, bascular hacia el sistema espejo es rápido y eficaz.
  • Mejora del tiempo de respuesta a los incidentes al dejar la responsabilidad de la parte material a expertos dedicados, aumenta la eficacia de tratamiento de los incidentes.
  • Un proveedor en nube puede permitirse contratar a especialistas para que se ocupen de las amenazas concretas a la seguridad, mientras que las empresas individuales difícilmente podrían.

 

Sin embargo, unas de las primeras objeciones que escuchamos cuando empezamos a hablar de nube es la parte de seguridad. Con razón, los CTO, CIO y CISO se preocupan de la integridad de los datos y la seguridad de las aplicaciones: ¿Qué tan segura es la nube? ¿Dónde están mis datos? ¿Cómo me pueden asegurar que mis aplicaciones van a ser protegidas? ¿Pueden los usuarios no autorizados acceder a mis datos confidenciales? ¿Por qué estas dudas son permitidas? y ¿de dónde nacieron?

La computación en la nube provee a los usuarios y empresas numerosas capacidades de almacenamiento y procesamiento de información en centros de datos de terceros. Podemos identificar dos tipos de problemas de seguridad: a los que se enfrentan los proveedores de la nube (IaaS: AWS, Microsoft Azure, Movistar, etc.; SaaS: Dropbox, Salesforce, Gmail, etc.) y los problemas de seguridad enfrentados por los clientes (compañías y organizaciones que utilizan el servicio).

En el modelo tradicional, que consiste en poseer y administrar su propia infraestructura in-house, la responsabilidad es al 100% de la empresa u organización. En el modelo de la nube, la responsabilidad es compartida.

 

¿Cómo se dividen las responsabilidades?

El proveedor del servicio debe de asegurar que la infraestructura (desde el edificio físico hasta el servidor, la red y la consola administrativa) sea segura y que la información esté a salvo. Del otro lado, los clientes deben tomar medidas para disminuir al máximo las debilidades de las aplicaciones y adoptar costumbres compatibles con un nivel de seguridad máxima (como contraseñas seguras y restricciones de puertos).

 

¿Cómo minimizo el riesgo?

Elegir la nube es compartir el riesgo con un proveedor y renunciar al acceso físico a los servidores que almacenan la información. Los proveedores del servicio de la nube deben dar seguridad a través de chequeos realizados por los empleados que tienen acceso a los servidores físicos. Adicionalmente, los centros de datos deben de ser monitoreados contra actividad sospechosa.

Del lado del cliente, inculcar buenas costumbres es un reto, pero es esencial para garantizar un nivel de seguridad óptimo:

  • Limitar la cantidad de puertos abiertos.
  • Restringir acceso a direcciones IP conocidas (cuando sea posible).
  • Utilizar certificados o, cuando no sea posible, contraseñas de alta seguridad.
  • No permitir acceso administrativo publico.

El usuario final tiene una responsabilidad, sabemos también que las aplicaciones son una de las primeras debilidades de un sistema informático.

Finalmente, la parte que corresponde al cliente es muy similar en una infraestructura in-house y en la nube. El cliente debe de aceptar compartir esta responsabilidad.

En la segunda parte de este artículo, hablaremos de cómo minimizar los riesgos de ciberseguridad, eligiendo no solamente el proveedor de servicios según recomendaciones, sino también a un especialista en el diseño y soporte de la arquitectura Cloud.

Por Romain Malenfant, Director Comercial en Cobalt Bond

Leer la parte 2.