Llegamos a ustedes gracias a:



Noticias

Google intenta vencer a AWS en seguridad de la nube

[15/03/2017] Google sabe que, si las empresas van a mover sus servicios críticos a su nube, tiene que ofrecer algo que AWS no ofrezca.

En su conferencia de la semana pasada, Google dio a conocer herramientas que permitiría a los equipos de TI acceder al detalle de las aplicaciones, administrar mejor las claves de cifrado y aplicar mecanismos de autenticación más fuertes para aplicaciones que se ejecutan en Google Cloud. Aunque algunas de las características, como el Key Management Service, son similares a las herramientas de seguridad que AWS ya ha desplegado (en este caso, el AWS Key Management Service), otras como la API de DLP para GCP (Google Cloud Platform), van más allá de la infraestructura para proteger a las aplicaciones individuales.

Google claramente está buscando en la seguridad la forma de diferenciarse de otros proveedores de infraestructura de nube. No solo está protegiendo el hardware y las máquinas virtuales subyacentes; también protegerá las aplicaciones que se ejecuten en ellas.

Proteger los datos confidenciales en todo lugar

La API de DLP, ahora en fase beta, permitirá a los equipos de TI identificar y redactar cualquier elemento de información confidencial que pueda encontrarse en las aplicaciones que se ejecutan en GCP. La tecnología DLP realiza análisis profundo de contenido para encontrar coincidencias con la lista de más de 40 tipos de datos confidenciales, tales como los números de tarjetas de crédito o de cuentas o la información de contacto, y permite a los administradores decidir la mejor forma de proteger esa información. La captura de pantalla en la entrada del blog que anuncia las nuevas características de seguridad muestra cómo la API de DELP redacta la información de un documento, tales como el nombre, dirección de correo electrónico, número de teléfono móvil, número de seguro social y número de tarjeta de crédito de una persona.

Los administradores pueden decidir el nivel de protección aplicable para cada tipo de dato. Con el OCR, los administradores también pueden administrar el contenido almacenado en imágenes y texto.

El diferenciador clave de Google es el hecho de que la API de DLP para GCP es una extensión de DLP para Gmail, lanzado originalmente en 2015 y DLP para Drive, anunciado en enero. La combinación de las tres herramientas proporciona a los administradores de TI la capacidad para escribir políticas que pueden manejar de forma consistente los datos confidenciales en todas las plataformas: aplicaciones que se ejecutan en la infraestructura de nube, mensajes almacenados en Gmail y documentos almacenados en Drive.

Google está proporcionando a las empresas herramientas de seguridad para proteger los datos en aplicaciones que se ejecutan dentro de su nube. Amazon, aunque ha invertido en protección de datos, se ha centrado en el nivel de servidor y almacenamiento por bloques.

Controlar quién puede acceder a las aplicaciones

En estos momentos, los equipos de TI que quieren controlar el acceso a las aplicaciones dependen de las VPN, pero ese tiende a ser un enfoque del tipo 'todo o nada'. Los usuarios que tienen credenciales válidas de VPN acceden a todas las aplicaciones. Las aplicaciones de controles de acceso más detallados ha sido siempre un reto, y cuando los empleados están siempre moviéndose y trabajando sobre redes no confiables, la VPN se convierte en un método ineficiente para administrar el acceso.

Ahí es donde entra el Identity-Aware Proxy (IAP), también en beta, ya que permite a los equipos de TI pasar del modelo VPN a uno que evalúe el riesgo para cada aplicación. Los administradores especifican qué grupos de identidades pueden tener acceso a qué aplicación, de tal forma que sólo los usuarios autorizados y autenticados tienen acceso a las aplicaciones protegidas mediante IAP en Google Cloud.

IAP es un elemento del marco BeyondCorp, el modelo de seguridad empresarial que Google desarrolló internamente para permitir que sus empleados trabajen desde redes no confiables sin tener que preocuparse acerca de la VPN. Los usuarios apuntan su navegador web a una URL accesible desde Internet para acceder a aplicaciones protegidas mediante IAP, e IAP maneja el proceso de autenticación para verificar la identidad.

Google aborda la cuestión de la identidad desde una dirección diferente que el servicio de Amazon y su servicio AWS Identity and Access Management. IAM de AWS permite a los administradores controlar el acceso a las API de servicios de AWS y a recursos específicos, y agrega controles específicos sobre cómo el usuario puede acceder a AWS. Amazon también permite a TI administrar a los usuarios y a los grupos a través de AWS Active Directory. Sin embargo, el enfoque de Google está mucho más enfocado en las aplicaciones.

Autenticación de dos factores obligatoria en la nube

SKE (Security Key Enforcement) para GCP y G Suite, ahora disponibles para todos, permite a los equipos de TI requerir a todos los usuarios que activen las claves de seguridad como un factor de verificación de dos pasos cada vez que se identifican en G Suite o acceden a un recurso de Google Cloud Platform.

Hasta hace poco, los usuarios podían decidir a nivel individual si ir con las claves de hardware (como Yubikey) como parte de la verificación de dos pasos. Con SKE para GCP, los administradores de TI pueden ahora hacerlo obligatorio, y así agregar una capa segura de autenticación para las cargas de trabajo de nube.

IAP también se puede integrar con las claves de seguridad para evitar el phishing.