Llegamos a ustedes gracias a:



Reportajes y análisis

Consejos y trucos para la nube

Los usuarios señalan que la seguridad híbrida requiere diligencia y defensa en profundidad

[18/03/2013] Los usuarios y consultores de seguridad que están familiarizados con el proceso de asegurar nubes híbridas, tienen algunos consejos que ofrecer: la única forma de hacer las cosas es dando un paso a la vez.
"Administrar la seguridad híbrida es una cuestión de establecer las políticas a lo largo de todos los puntos de seguridad que las TI ya están acostumbradas a manejar. Se trata de ser consistentemente diligente en cada jugada, señala Joe Coyle, CTO del gigante de la consultoría de TI, Capgemini North America.
Coyle asesora a los clientes para que consideren el uso de la nube híbrida como una extensión de su perímetro de red. "Hay que modificar la política de firewall, vigilar el tráfico IDS más cuidadosamente, emplear el cifrado, ajustar múltiples niveles de autenticación para la demanda y el acceso a la administración de alto nivel de la seguridad física en los sitios de los proveedores, detalla Coyle.
En términos de asegurar el enlace entre el centro de datos -virtualizados como una nube privada o no- se puede ir con una ruta directa o establecer un túnel. Leap Garrett, director de tecnología de Direct Insite, una empresa que ofrece soluciones bajo demanda de cuentas por pagar y cuentas por cobrar a más de 100 mil empresas en 100 países, señala que su compañía fue por una conexión directa de fibra de 100MB, tanto para el aumento de la seguridad que ofrece, y el hecho de que uno de los centros de datos de la compañía estaba ya colocado en las instalaciones de Terremark en Miami.
Direct Insite ahora aloja a sus clientes encarando el front end en la nube, y toda la data de los clientes es almacenada y procesada en el data center colocado de la compañía. Leap, de Direct Inside, señala que sabiendo que los centros de datos virtualizados de Terramak estaban calificados como de nivel IV, eso significaba que había un alto nivel de comodidad en términos de quién tenía acceso físico a los servicios allá.
Para asegurar el enlace directo, Direct Insite usó una caja Cisco ASA. Solo permitimos lo que queremos que ingrese y no dejamos que salga ningún dato que no debería, agrega Leap.
En la parte superior de la seguridad de la capa física, definida por jaulas con candados para los servidores y cosas de esa naturaleza, el consultor de seguridad Joel Snyder, de Opus One, señala que es también crucial para los clientes entender el mecanismo de control del proveedor para el acceso a la administración de los servidores.
"Estos operadores tienen todas las herramientas para asegurarse de que los grilletes en la Internet mantendrán sus datos a salvo, pero ¿están vigilando la posibilidad de que uno de sus propios muchachos sea sobornado por un competidor para que le descargue todos sus datos de venta?, pregunta Snyder.
Snyder señala que las empresas que buscan construir nubes híbridas deben exigir a sus proveedores de servicio una autenticación probada de dos factores para todos los propósitos de administración de servidores.
Y deben exigir que todos los parámetros de seguridad de la implementación híbrida sean manejables desde el mismo panel de vidrio, señala Kevin Jackson, vice presidente y gerente general de NJVC, un proveedor de consultoría de TI para clientes gubernamentales de alta seguridad. Jackson afirma que la gestión unificada va a ser aún más necesaria a medida que los clientes evolucionen en el uso de múltiples proveedores de servicios de nube en el futuro. Él sugiere que los clientes busquen brokers de servicios en la nube que provean esa administración de enlaces.
Cada participante entrevistado para este reportaje, dijo que el empleo de cifrado en una nube híbrida es una decisión obvia tanto para datos en reposo como en movimiento. Pero uno de los importantes problemas con el cifrado en una situación híbrida es donde mantener la clave, ya que los datos y el acceso a los datos pueden separarse entre ambos lugares, y las prácticas de seguridad de rutina dictan que no se debe almacenar las claves donde reside la data.
Segal McCambridge, una firma de abogados con sede en Chicago, optó por mantener sus propias claves y almacenar los datos para sus aplicaciones híbridas en la solución de almacenamiento basado en la nube de Nasuni.
El director sistemas de información de la empresa, Matt Donehoo, explica que todos los archivos de litigio de su empresa almacenados electrónicamente deben gestionarse de manera que se garantice su defensa absoluta en un tribunal de justicia -cualquier otra cosa los haría inadmisibles. Por su diseño, el controlador de almacenamiento de Nasuni, instalado en el sitio de Segal McCambridge, encripta completamente cualquier información o metadato que abandona la oficina de un cliente y mantiene los datos encriptados tanto en el cable como en el resto de la nube de Nasuni.
El cliente controla las claves de los datos cifrados, por diseño. A partir de ahí le toca a la empresa seleccionar, ya sea emplear un producto de administración de clave en las propias instalaciones, o usar un servicio de administración de clave ofrecido por terceros.
Los dos niveles de profundidad de seguridad que entran en juego para las redes virtuales -ya sean privadas, así como públicas y privadas- cumplen con la seguridad de la máquina virtual.
"A veces, el equipo de seguridad de la empresa no tiene una opinión sobre cómo las máquinas virtuales giran dentro de la nube de un proveedor. Pero deberían, porque ese es un punto fundamental de la seguridad en la nube. Usted quiere presionar para asegurarse de que su política de seguridad viaja con su imagen virtual, sin importar donde se esté ejecutando", señala Rand Wacker, vicepresidente de productos de CloudPassage, un proveedor de seguridad para servidores de nube.
Jackson, de NJVC, agrega que la Trusted Execution Technology (TXT)  de Intel podría ayudar a los departamentos de TI en un futuro próximo con el problema básico de ser capaces de confiar en los servidores que ejecutan sus aplicaciones en la nube. TXT es una medida de seguridad basada en hardware incorporada dentro de los servidores Xeon que está diseñada para detectar y prevenir ataques BIOS y formas cambiantes de malware sigiloso, como rootkits.
El principal beneficio, señala Jackson, es la comprensión de que las instancias virtuales estarán trabajando en una máquina de confianza.
Christine Burns, Network World (EE.UU.)