Llegamos a ustedes gracias a:



Reportajes y análisis

Nube pública versus infraestructura en las instalaciones ¿cuál es más segura?

[11/01/2016] ¿Cuál es más segura: la nube pública o la infraestructura en las instalaciones?

"¿Es más seguro funcionar en la nube o más seguro funcionar en mi centro de datos?", Se pregunta John Treadway, vicepresidente senior de consultoría de Cloud Technology Partners. "Puedo hacerlo mejor. Puede hacerlo mejor... Se convierte en un debate religioso".

Las grandes empresas invierten mucho en seguridad, anota Treadway, y también lo hacen los grandes proveedores de nube. "Ya sea más segura o menos segura, [la nube es] al menos tan segura como la mayoría de los entornos empresariales", concluye.

A medida que el mercado de la nube siga madurando en el año 2016, las organizaciones estarán más dispuestas que nunca a utilizar los servicios basados en la nube. En la conferencia re:Invent de Amazon Web Service realizada en Las Vegas el pasado octubre, los CIOs de Capital One y General Electric hablaron sobre cómo están ganando enorme ventaja mediante el uso de la nube pública. Funcionarios de Bank of America y Goldman Sachs admiten que ellos también están utilizando los servicios de nube y otra tecnología emergente como contenedores.

Pero esta pregunta acerca de la seguridad en la nube permanece. Una reciente encuesta hecha a 1.500 profesionales de TI por 451 Research Group encontró que la seguridad, el cumplimiento y la soberanía de datos son los tres mayores problemas que frenan el uso de la nube pública.

Entonces, ¿dónde estará el mercado de la nube en lo referente a la seguridad en el 2016?

Cielos azules

Si le pregunta a Greg Arnette si la nube es más segura que la infraestructura en las instalaciones, va a decir que "absolutamente sí". Arnette es director de tecnología del proveedor de archivos en la nube Sonian, que se aloja en su mayoría en la nube de AWS. La nube pública se destaca en dos áreas críticas de seguridad, sostiene Arnette: Información sobre la resiliencia y la privacidad. Resiliencia es la idea de no perder datos o dejar que sean susceptibles a la corrupción. Simple Storage Service de Amazon está diseñado para un 99,999999999% de durabilidad y hasta el 99,99% de disponibilidad de los objetos en un año determinado. Eso es difícil de imitar en las instalaciones.

Por el lado de la privacidad, el servicio de AWS Identity and Access Management (IAM) permite a las organizaciones imponer controles de grano fino sobre lo que pueden hacer los usuarios individuales en un entorno de AWS (IAM se integra con el Active Directory existente de los usuarios, o de otras plataformas de autenticación). AWS también da a los usuarios acceso a los registros detallados de toda la actividad que sucede en una cuenta de AWS, proporcionando la capacidad de auditar la actividad en busca de actividad inusual o potencialmente dañina. "La nube reduce la superficie de ataques de penetración debido a que los puntos de entrada en la nube están muy bien definidos y se pueden bloquear con la autenticación de múltiples factores, tokens basados en la web, acceso restringido por tiempo limitado y otras herramientas muy maduras", añade Arnette.

Para implementar estas herramientas en un entorno dentro de las instalaciones se requeriría no solo de grandes inversiones en infraestructura, sino equipos que los manejen también. En la nube, pueden ser instituidos con unos pocos clics.

El argumento básico de los entusiastas de la nube es que Amazon, Microsoft, Google, IBM, VMware y otros proveedores de IaaS gastan mucho más en asegurar sus sistemas de lo que la mayoría de las organizaciones son capaces de hacer por sí mismas.

Tormenta de nubes

Aun así, Arnette admite que hay gente que "mira el mundo a través de un lente diferente", que cree que la nube es menos segura que la infraestructura en las instalaciones -y siempre lo será.

Quizá los pesimistas de la nube tienen razón. En el 2014, CodeSpaces se convirtió en un ejemplo de cómo no se debe utilizar la nube correctamente. Los hackers obtuvieron acceso al centro de AWS de la compañía y exigieron un rescate. Cuando no se le pagó a los piratas informáticos, eliminaron todo el entorno AWS de CodeSpaces. Fue un día oscuro para la seguridad en la nube. Algunos lo vieron como un ejemplo de por qué la nube puede ser insegura. Otros lo usaron como un momento de enseñanza.

Pero hay ciertas cargas de trabajo que probablemente nunca se moverán a una nube pública. Algunas organizaciones de regulación, de cumplimiento, de seguridad o de demanda de los clientes requieren "espacio de aire," en las operaciones del centro de datos fuera de línea -es decir, sin conexión a la red dentro o fuera del centro de datos. Por definición de lo que es IaaS público (entrega a través de una conexión a Internet), no sería posible en la nube pública, señala Tim Prendergast, CEO de Evident.io, una compañía que se especializa en conseguir entornos de AWS. Sin embargo, la nube privada IaaS es otra historia.

La mayoría de las otras cargas de trabajo -incluso aquellos en industrias altamente reguladas- pueden, en teoría, pasar a la nube pública. Mackenzie Kosut ha trabajado en el cuidado de la salud y las finanzas, y en ambos puestos de trabajo ha utilizado AWS en gran medida. "Por razones de seguridad se reduce a dos filosofías básicas: Restringir el acceso y cifrar todo", indica Kosut, ahora jefe de operaciones técnicas en Betterment -una consultora de inversión en línea; trabajó anteriormente en Oscar Health de Nueva York. Ambos han cumplido con las regulaciones de HIPAA y FINRA mientras se ejecutan en la nube de AWS.

Krishna Subramanian, director de operaciones de almacenamiento en el proveedor de almacenamiento de nube híbrida Komprise, y ex director de la nube de Citrix, dice que las herramientas que dan a los clientes la capacidad de gestionar las claves de cifrado en sus propios locales, han sido un gran avance para los usuarios de la nube de seguridad-consciente. El hardware de módulo de seguridad (HSM, por sus siglas en inglés) de AWS es un aparato de infraestructura en el mismo recinto que permite a los usuarios cifrar los datos en sus propios servidores y luego almacenar las claves para cifrarlas en HSM, que se encuentra detrás de su firewall. Solo los datos cifrados se envían a la nube pública y las claves nunca se dejan en las instalaciones del cliente.

Treadway, el ejecutivo de CloudTP, dice que toda la discusión acerca de qué infraestructura es más segura podría estar perdiendo el punto. "La mayoría de los problemas de seguridad no están con la infraestructura", anota. "Están en la aplicación".

Cuando hackean información de tarjetas de crédito de los usuarios de una empresa, es más probable que las aplicaciones de la compañía que contienen la información de la tarjeta de crédito hayan sido el objetivo del ataque, no la infraestructura en la que se encuentra alojada. "Si la gente realmente quiere invertir en seguridad, deben centrarse en la seguridad de sus aplicaciones, y dejar que Amazon, Microsoft, Google o algún otro proveedor de la nube aseguren la infraestructura".