Llegamos a ustedes gracias a:



Casos de éxito

Dentro de la nube privada de la NSA

Entrevista exclusiva con el CIO, Lonny Anderson

[19/12/2014] La Agencia de Seguridad Nacional (NSA) tuvo un problema que es familiar para cualquier ejecutivo gerente de TI en una empresa: se estaba quedando sin espacio para cientos de bases de datos relacionales dispares que contienen todo, desde información de back-office hasta inteligencia sobre los intereses extranjeros. Y necesitaba consolidar las bases de datos para que a los analistas de la NSA se les haga más fácil su trabajo.

El planteamiento inicial de la NSA era ampliar la capacidad. Pero a mitad del proceso, el personal se dio cuenta de que simplemente, aumentando el alcance de la red, no iba a funcionar. De este modo, el CIO, Lonny Anderson, convenció al general Keith Alexander, quien en ese entonces era director de la NSA y Comandante del Comando Cibernético de Estados Unidos, de moverse hacia la nube.

Hoy en día, que el proyecto de nube privada continúa siendo desplegado, la agencia está viendo ya los beneficios. Las tareas que a los analistas les llevaban días, ahora toman unos pocos minutos, los costos se han reducido, y la gestión y protección de la información han dado un gran paso adelante.

Para saber más sobre este esfuerzo, que se remonta al año 2009, la edición americana de Network World fue invitada a entrevistar a Anderson en la sede de la NSA en Fort Meade, Maryland. Explicó que el objetivo era crear un entorno lo suficientemente grande como para manejar los repositorios de datos, y para garantizar que los analistas tuvieran la experiencia de cara al usuario con una ventanilla única que la nube puede proporcionar.

También señaló que el esfuerzo de la NSA es parte de una migración más grande de las agencias de inteligencia de Estados Unidos a la nube. En el 2011, un secuestro obligó a que el Departamento de Defensa absorbiera "enormes recortes presupuestarios, señala Anderson.

Las agencias "decidieron economizar compartiendo los servicios de TI y evitando así una barra drástica, agrega Anderson. La NSA, la CIA, la Agencia Nacional de Inteligencia Geoespacial (NGA), la Oficina Nacional de Reconocimiento (NRO), y la Agencia de Inteligencia de Defensa (DIA) se repartieron las responsabilidades, siento la NSA y la CIA quienes manejan la infraestructura de nube; NGA y DIA se encargan del escritorio, y NRO se centra en las necesidades de redes y servicios de ingeniería.

Además de ahorrar en el precio, al poner todos los datos de la comunidad de inteligencia en el mismo cubo, se mejora la velocidad, la profundidad y la eficacia de su trabajo.

Dentro de la nube

Anderson describe la nube privada como "un conjunto integrado de código abierto y servicios gubernamentales desarrollados sobre hardware comercial que satisface las necesidades operativas y de seguridad específicas de la NSA y la Comunidad de Inteligencia (IC) m IC [DS1]. NSA es parte de una Oficina del esfuerzo del Director de Inteligencia Nacional (ODNI) para migrar a una nube comunitaria que reúna los servicios en la nube de la NSA con servicios en la nube comerciales clasificados".

A pesar de que no se podían obtener muchos detalles debido a restricciones de seguridad, nos enteramos de que se basa en el mismo hardware básico utilizado por los proveedores de nube pública. También utiliza productos de código abierto como Apache Hadoop, Apache Accumulo, OpenStack, y "una variedad de otras herramientas, paquetes y capas de virtualización".

No sería sorpresa enterarse de que la nube privada de la NSA se encuentra dentro de las instalaciones de seguridad del gobierno. Anderson dice: "Se ahorra espacio con la combinación y la consolidación de múltiples servicios y sistemas independientes. Además, tomamos ventaja de las economías de escala de hardware común y las continuas mejoras de los mercados comerciales para ahorrar espacio, energía y refrigeración; las mismas eficiencias utilizadas por los servicios comerciales de nube pública".

Mantener los datos seguros

A raíz de las filtraciones de Wikileaks y Snowden, es importante entender lo que se almacena y cómo se está gestionando. ¿Cómo puede comprobarse la legalidad?

Nube privada, NSA, Lonny Anderson

Anderson señala que la nube de la NSA contiene datos que las agencias adquieren y utilizan para sus misiones. Y añade: "La forma en que reunimos y utilizamos datos es en realidad gobernada por autoridades legales estrictas, y sujeta a una supervisión muy rigurosa. Eso es importante a tener en cuenta porque la arquitectura de nube y la estructura de gestión de datos de la NSA mejora en gran medida nuestra capacidad para organizar y analizar datos y producir inteligencia de calidad, pero también hace que sea más fácil para nosotros encontrar y hacer cumplir nuestras responsabilidades legales con el fin de proteger la privacidad y las libertades civiles -algo que siempre hemos tomado muy en serio. Además, junto con las funciones de la misión, la nube es igualmente adecuada para permitir mejoras en otras funciones administrativas y de gestión de la agencia".

Su punto sobre el cumplimiento es especialmente importante ahora, tras el escrutinio del año pasado. También es una lección para el sector privado, donde muchas empresas han tenido problemas al perder el control de la información confidencial.

Debido a la naturaleza de la misión, los componentes residen en la nube a través de una arquitectura distribuida en múltiples zonas geográficas. "No podemos hablar de todo en detalle", señala el CIO. "Pero utilizamos una variedad de protocolos de seguridad en todas las capas de la arquitectura, así como una estrategia de cifrado robusto. La nube de la NSA reúne a múltiples conjuntos de datos, y protege cada pieza de datos a través de la seguridad y el cumplimiento de las autoridades que especifican su uso. Hacemos esto mediante el marcado de cada pieza individual de datos con un conjunto de etiquetas que dictan sus protecciones de seguridad y su uso. Además de las marcas de datos, la seguridad se aplica en toda la arquitectura en varias capas para proteger los datos, los sistemas y el uso".

Esta capacidad de la agencia para realizar un seguimiento de las actividades de una pieza de información tiene que ver, como él mismo explica, "con el etiquetado y la procedencia de los datos y de la gente. Nuestro equipo ha desarrollado una forma de etiquetar los datos a nivel celular y, en consecuencia, a través de certificados PKI, a cada persona. Para el archivo, significa poder realizar un seguimiento de lo que ocurre con todo el tiempo que está en el sistema. Para una persona, significa más de lo que hace con un archivo, sino que también significa lo que está autorizado a ver".

Como resultado, la agencia ahora puede realizar un seguimiento de cada instancia de cada persona que acceda, lo que en algunos casos es una sola palabra o nombre en un archivo. Esto incluye cuándo llegó, quién puede acceder a ella, quién accedió, descargó, copió, imprimió, transmitió, modificó, o suprimió. Además, si los datos tienen requisitos legales, como ser purgado a los cinco años, se abrirá automáticamente y le avisará al personal de TI de la NSA que está listo para ser purgado.

"Todo esto lo puedo hacer en la nube, pero -en muchos casos- no se puede hacer en los sistemas legacy, muchos de los cuales fueron creados antes de que existiera tal tecnología de procedencia de datos." Al tener esta habilidad disponible en el momento, hubiera sido poco probable que el soldado norteamericano Bradley Manning tuviera éxito en la obtención de documentos clasificados en el 2010.

Adaptarse a los cambios

Anderson describe el paso a una arquitectura basada en la nube como un cambio importante en múltiples niveles. "Históricamente, se necesitaba una base de datos especialmente diseñada para hacer uso de los conjuntos de datos individuales, lo que obligó a los analistas a acceder a muchas diferentes bases de datos y repositorios de información para hacer su trabajo. Las preguntas que se extendían por más de un conjunto de datos tenían que ser reunidas de forma manual por el analista. Al poner todos los datos en la nube, los analistas y herramientas analíticas solo tienen que interactuar con un sistema. Además, la granularidad del control que obtenemos de etiquetar cada pieza de datos, hace posible reunir datos que previamente requerían bases de datos separadas para proporcionar las garantías necesarias".

Desde el inicio del proceso, surgió un problema: "Nuestra comunidad de analistas vino a nosotros y nos dijo, 'Aquí están las aplicaciones que utilizamos en nuestras bases de datos relacionales heredadas. Solo queremos llevarlas a la nube'. Bueno, nos encontramos con que simplemente llevar programas y datos de sistemas heredados directamente a la nube no siempre funciona. Y, aunque estas aplicaciones podrían funcionar correctamente en el nuevo entorno, lo más probable es que sub-utilicen los beneficios potenciales, porque la nube funciona de manera diferente a las bases de datos relacionales".

A medida que la agencia ha madurado hasta el punto de ser un activo utilizable, Anderson ha notado que los analistas y desarrolladores -que trabajan juntos para resolver tareas de inteligencia- tenían una tendencia a seguir con sus sistemas heredados. Para hacer que el personal invierta en el nuevo sistema, el grupo de TI creó "Future Arquitecture Transition Tuestay" o "FAT Tuesday", en el que los días martes se probaba la nueva tecnología.

Cada dos martes tomaban por lo menos 150 equipos de analistas-desarrolladores y les decían: "Hoy en día, usted no puede utilizar sus herramientas heredadas o repositorios, hay que trabajar exclusivamente en la nube". Para apoyarlos mientras luchaban con cumplir su misión en el nuevo entorno, Floor Walkers, mentores de analistas experimentados, observaban mientras trabajaban e intercedían si sea necesario.

Cuando un analista levantaba la mano, intervenían para ayudar. Anderson explicó: "Al principio, esos era brutal. Encontraron un montón de problemas, pero, con el tiempo, los equipos llegaron al punto en que las tareas que llevaban horas o incluso días en los sistemas heredados, tomaron minutos o incluso segundos en la nube."

Resumen

La decisión de la NSA de moverse a una nube privada está funcionando en varios frentes. La agencia ha trasladado gran parte de su trabajo de sistemas heredados a una plataforma basada en la nube. La eficiencia de la nube ha reducido el peligro de los recortes presupuestarios; la productividad de la oficina -la búsqueda de los chicos malos por ahí- ha mejorado; y la seguridad cibernética ha hecho un gran avance.