Llegamos a ustedes gracias a:



Reportajes y análisis

¿Es BYOK la clave para asegurar el cómputo de nube?

[03/02/2016] Gracias a las revelaciones de Edward Snowden sobre la NSA, el hackeo total de Sony y las continuas batallas legales sobre si el correo electrónico almacenado en la nube pertenece a las personas que lo envía o al servicio en donde se encuentran, más y más servicios de nube han pasado al cifrado de los datos. Algunos incluso van más lejos: Ofrecen opciones del tipo Bring Your Own Key (BYOK), en donde el usuario se queda con las llaves de cifrado para su propia nube de datos.

Google Compute Engine empezó a ofrecer el año pasado un servicio preliminar para cifrar tanto los datos como el cómputo con sus propias llaves; mientras que Amazon ofrece tanto el servicio soft key management como el Cloud HSM -mucho más costoso y lento de instalar- para instancias EC2 y S3, en donde las llaves se encuentran en los Hardware Security Modules dedicados en la nube de Amazon. Adobe Creative Cloud ahora ofrece soporte para las llaves de cifrado de datos administradas por los clientes para proteger los contenidos sincronizados con las cuentas de Creative Cloud.

Key Vault de Microsoft está diseñada para ser una bóveda individual, auditada, versionada y segura que se integra con Azure Active Directory para su autentificación. Key Vault le permite a uno almacenar contraseñas, detalles de configuración, llaves de API, certificados, hilos de conexión, llaves de firma, llaves SSL y llaves de cifrado para Azure Rights Management, SQL Server TDE, Azure Storage y Azure Disk Encryption, para sus propias aplicaciones .NET en Azure, y para cifrar máquinas virtuales usando CloudLink Secure VM de EMC.

Las llaves en Key Vault pueden almacenarse como soft keys -que están cifradas por un sistema de llaves en un HSM-, o pueden cargarse directamente al HSM de Microsoft (en una región geográfica seleccionada) desde su propio HSM, para que usted pueda crear llaves on premises y transferirlas a Key Vault.

Dan Plastina, quien dirige el grupo Microsoft Information Protection, que incluye a Key Vault, señala las ventajas de administrar llaves de la misma manera para diferentes sistemas. "La belleza aquí es que, si tiene un mecanismo que funciona para cargas de trabajo para Office 365 como Exchange, SharePoint y OneDrive for Business, ese mismo mecanismo también funciona para las aplicaciones de línea de negocio, para las máquinas virtuales, para insertar secretos dentro de las máquinas virtuales, CRM, SQLServer, HD Insight; comienza a iluminar sus cargas de trabajo de Microsoft con un paradigma que es bastante similar y un entrenamiento que es bastante similar. Plastina afirma que esto es crítico si es que está considerando el uso de BYOK, debido al peligro de perder sus llaves.

"Usted está buscando algo que pueda entender y con lo que pueda entrenar a su personal, porque no querrá perder sus llaves porque luego perderá sus datos, afirma Plastina. Cuando usa llaves basadas en HSM, como Cloud HSM o BYOK en Azure Key Vault, las llaves son cargadas directamente desde su HSM a los de éstos, y el servicio de nube nunca las ve. Eso significa que ellos no pueden entregar sus llaves -a un atacante o a una investigación gubernamental. Pero también significa que ellos no pueden devolverle sus llaves.                       

"Si pierde sus llaves, todos los datos cifrados con esas llaves desaparecerán para siempre, señala Plastina. "Cuando la llave es transferida desde su infraestructura hacia nuestro HSM, se hace de tal manera que no podemos verla, así que si el cliente vuelve y dice que el edificio se le incendió y el HSM ya no existe, entonces todas las llaves se perdieron y se acabó -fin del juego. Como dice el dicho, un gran poder implica una gran responsabilidad. La gente debe estar dispuesta a cumplir con esta tarea si es que quiere involucrarse.

Las llaves administradas por un servicio pueden darle las garantías que ofrecen las llaves por subscripción y por tenant, es decir, segregación de deberes y auditorías y sin el dolor de cabeza de tener que administrar las llaves. "Pero con BYOK, estamos pidiendo que los clientes se involucren de una manera significativa, afirma Plastina. "Eso significa tener bóvedas, administrar bóvedas; en algunos casos, eso requiere llaves basadas en HSM así que es como si compraran un HSM on premises, ellos tienen que administrar sus propios quórums para smart cards y PINs de administrador, deben guardar las smart cards en el lugar adecuado. Definitivamente aumenta la responsabilidad para ellos.

Traiga su propio banco

Si piensa que traer sus propias llaves -lo que implica asegurar sus propias llaves- es lo mejor para su negocio, la primera pregunta que debería hacerse es si está listo para convertirse en un banco, porque tendrá que dirigir la infraestructura de su llave con el mismo rigor de esta institución, incluso pensar en los planes de viaje de los ejecutivos de la compañía. Si tiene tres personas autorizadas para usar la smart card que le da acceso a su llave, nunca querrá que las tres estén en el mismo avión.

La responsabilidad de asegurar esas llaves significa que, aunque algunos clientes de Microsoft -particularmente en la industria automotriz- han optado por BYOK, "otros dicen 'confiamos en que Microsoft hará lo correcto', afirma Plastina.

"Todos comienzan diciendo 'quiero tener el control', pero cuando ven la responsabilidad y entienden las extremas medidas con las que Microsoft toma esta responsabilidad, ellos dicen '¿por qué mejor no lo haces tú'. No quieren ser el eslabón más débil de la cadena.

Inclusive algunas instituciones financieras de Nueva York, que inicialmente preferían BYOK - que corrían en sus propios HSM on premises-, luego decidieron no adquirirla cuando tomaron en consideración todo lo que podría salir mal, afirma Paul Rich del equipo de Office 365 de Microsoft.

"Un HSM podría quedarse sin energía eléctrica, lo cual eliminaría una vasta franja de la base de usuarios. Ellos vieron rápidamente que esto es potencialmente un gran ataque de denegación de servicio que un atacante interno o un atacante malicioso podría llevar a cabo en la compañía. Estos son algunos de nuestros clientes más sofisticados que son altamente sensibles acerca de la gran responsabilidad que esto implica, y también sobre la amenaza potencial de destrucción, ya sea accidental o maliciosa.

Algunos negocios creen que necesitan BYOK para cumplir con los requerimientos normativos de tener las llaves bajo su supervisión. Existe una variedad de interpretaciones de lo que significa eso en diferentes jurisdicciones; "creemos que estamos cumpliendo el espíritu e intención de esas leyes, anota Plastina. Un servicio como Key Vault puede tener las llaves en geografías específicas, especialmente para las compañías pequeñas que no tienen infraestructura física en todos los territorios en donde hacen negocios.

Sin embargo, aún existen algunos negocios que quieren la opción de tener sus propias llaves - e incluso tenerlas en un HSM que ellos utilizan. De muchas maneras, tener sus propias llaves contradice la razón por la que muchas compañías están adoptando los servicios de nube; por la velocidad, simplicidad y ahorro de costos de no dirigir su propia infraestructura para proporcionar esos servicios. Si quiere mantener un desempeño aceptable y con buenos niveles de servicio, va a necesitar una infraestructura significativa.

"Para emitir llaves, a esos clientes se les requerirá dirigir un servicio de centro de datos distribuido altamente accesible y que sea tolerante a las fallas, advierte Plastina. No es un servicio que Microsoft ofrezca actualmente, pero es importante para las industrias como la banca -que ya tiene los procesos y experiencia para asegurar llaves, así como la experiencia para investigar los antecedentes de sus empleados.

BYOK y Office 365

No tiene que tener y administrar sus propias llaves para tener más control y transparencia, afirma Rich. BYOK no es la única manera para evadir la tensión entre no tener el control sobre el cifrado, y perder la mayoría de los beneficios de un servicio de nube cifrando sus datos antes de ponerlos dentro del servicio.

"Si cifra los datos antes de que éstos vayan dentro del servicio, no se puede trabajar sobre ellos, así que cosas tan simples como el spam y la detección de virus no pueden hacerse, y las funcionalidades de mayor nivel como las retenciones legales y el descubrimiento de documentos por parte de Delve y cosas similares, todas requieren acceso al contenido que la gente está poniendo dentro. Los CIO entienden eso y quieren la funcionalidad de esas características cuando éstas vayan a la nube. Lo que ellos están pidiendo es '¿cómo podemos permitir ese razonamiento con las máquinas con las que está conectado el servicio, pero que su gente no pueda ver nuestros datos?

La alternativa es el nuevo Office Lockbox. "La idea es que la gente en el servicio de nube no tiene acceso a su contenido. Se le puede asegurar cero accesos humanos por parte de Microsoft a su contenido. Si hubiese una razón de soporte por la que nosotros necesitaríamos acceso, pedimos permiso y hasta que lo consigamos, los humanos que usan el servicio no serían capaces de acceder. Los clientes obtienen transparencia y visibilidad, señala Rich; ellos pueden ver qué solicitudes de acceso están entrando, controlar quién las está aprobando y obtener registros de qué actividades se llevaron a cabo mientras el contenido estaba accesible.

Si se pregunta qué detendría a Microsoft si simplemente alega que no tuvo acceso al contenido, o a los administradores de hacer más de lo que muestran los registros, Rich señala al Government Security Program que Microsoft tiene para proporcionar acceso controlado al código fuente de Microsoft, y que la OTAN renovó recientemente. "Estamos de acuerdo con nuestros clientes, queremos tomar el código Lockbox y hacer que sea parte de un programa que permita revisiones de códigos de terceros y que muestre que no tiene puertas laterales o puertas traseras.

Desarrollar el Lockbox significó volver a escribir los servicios Office para remover el default que viene con el software de servidor on premises, donde el administrador siempre tuvo acceso a los datos. Eso se ha hecho para las opciones de Exchange y Lockbox que ya están disponibles; habrá una opción para SharePoint en el primer trimestre del 2016.

Office 365 también está pasando de apoyarse en BitLocker para cifrar los servidores donde corren las cargas de trabajo -lo cual no las protege mientras están funcionando- a cifrar la capa de aplicaciones. Eso ya se ha hecho para SharePoint y está en proceso para Exchange. "Eso separa los datos del administrador de servicio con mucha más fuerza, alega. Eso habilitará BYOK también. "Estaremos envolviendo la llave que usamos en la capa de aplicación para proteger el contenido del mailbox con la llave de Key Vault Azure que el cliente posee.

"Cuando el servicio esté totalmente disponible, nuestro plan es ofrecer un número pequeño de llaves a los clientes, quizás 10 o 20, que usen con su tenant para Exchange, SharePoint y Skype for Business. La mayoría de clientes dice que necesitan más que unas cuantas llaves, digamos tres llaves para América, Europa y Asia Pacífico que colocan en unos HMS Key Vault en esas geografías.

Esas llaves se tendrán que cuidar, pero no harán que trabajar con Office 365 sea mucho más complicado, pronostica. "Se tendrá que hacer una cantidad mínima de administración, rotar las llaves ocasionalmente, anota Rich. "Se puede usar estas llaves como una forma de salirse de todo el servicio. En operaciones normales, no tenemos acceso a su contenido; si un humano necesita acceso, entonces el Office Lockbox es la respuesta y usted sabe quién tuvo acceso y cuándo. La llave en el Key Vault se usa para apagar todas las luces a la vez cuando usted salía del edificio.

Asegure sus llaves

Dado que pocos son los negocios que están asegurando las llaves de las cuales ya son responsables -de acuerdo a una encuesta del año pasado, BYOK y HYOK estarán más allá del alcance de muchos negocios. El Ponemon Institute encontró que la mitad de las empresas no tienen un control centralizado de sus llaves SSH y muchas no rotan las llaves, lo cual las deja más vulnerables a los ataques. Perder las llaves de cifrado de la nube sería aún más problemático puesto que se perderán los datos permanentemente.

Recuerde, BYOK no es la única responsabilidad de seguridad relacionada a las llaves que usted estará asumiendo pronto. Windows 10 incluye la nueva opción Device Guard para limitar a las PC a que solo operen aplicaciones firmadas que vengan de Windows Store o que hayan sido firmadas por un ISV o por la propia empresa, usando llaves que se relacionan con la autoridad certificada de Microsoft. Los ISV y Microsoft pueden firmar aplicaciones que cualquier empresa puede correr; pero ese tipo de organizaciones ya tienen procesos para proteger las llaves de alto valor.

Las llaves de firma que las empresas tienen son más limitadas y producen aplicaciones firmadas que usted solo puede utilizar en sus dominios. Pero eso aún significa que un atacante que compromete sus llaves de firma puede producir malware en el que sus dispositivos más seguros podrían confiar.

Si está usando Device Guard para configurar la integridad del código para sus PC, Chris Hallum de Microsoft señala que "es realmente importante que los accesos sean manejados por gente confiable, que use autentificación de dos factores y que solo un número limitado de personas con una amplia experiencia en su organización y en las que usted confía tenga acceso.

En el 2007, hackers robaron las llaves que Nokia usó para firmar digitalmente aplicaciones para su sistema operativo Symbian, chantajearon a la compañía pidiendo millones de euros en un intento de perjudicarlos.

Si usted está preparado para lidiar con todo esto -desde un incendio hasta un chantaje o un ataque de denegación de servicio en su infraestructura TI y datos de la compañía- podría no estar listo para tener sus propias llaves. Recientemente, un bug en el plugin de GitHub creado para Visual Studio 2015 implicó que un desarrollador que incorporó sus credenciales AWS en un código cargado en lo que estaba destinado a ser un repositorio privado, encontró que unos hackers estaban usando esas llaves para correr miles de dólares en instancias AWS.