Llegamos a ustedes gracias a:



Reportajes y análisis

Cinco lecciones de Microsoft sobre la Seguridad en la Nube

 [31/08/2009] Aunque Google, Amazon y Salesforce han ganado gran atención como proveedores de servicios de nube, Microsoft, con sus 300 productos y servicios entregados desde sus data centers, tienen su propio gran banco de nubes.

En mayo, la compañía emitió un paper sobre su enfoque a los servicios en la nube y la forma en que la compañía planea asegurar estos servicios. El paper, escrito por los Global Foundation Services de Microsoft (grupo responsable de supervisar la infraestructura de Microsoft de software como servicio), describe los actuales peligros para los servicios en línea, incluyendo una creciente interdependencia entre los clientes y las compañías que los sirven, y los más sofisticados ataques sobre los servicios de Internet.
Microsoft argumenta que su enfoque a la seguridad, que construyó mediante su Trustworthy Computing Initiative en el 2002, funciona también para los servicios en línea, con algunas modificaciones.
Si tomo los principios tradicionales de seguridad, que no han cambiado en términos de disciplina y enfoque, señala Charlie McNerney, gerente general de negocios y administración de riesgos del GFS de Microsoft. Lo que se ha ampliado es la cantidad de controles que hemos aplicado.
En recientes entrevistas, McNerney y otros proveedores dela  nube compartieron sus pensamientos sobre el enfoque de Microsoft para asegurar los servicios de la nube y los data centers que soportan tales servicios.
1. Discutir los riesgos con los clientes. La seguridad de los servicios de la nube preocupa a muchos clientes, y debería, señala McNerney. Es importante establecer las responsabilidades con respecto a los datos de los clientes, indica.
Cuáles son los escenarios problemáticos y las responsabilidades que las partes tienen en ese ambiente cuando ocurra algo malo, sostiene McNerney. Ese es el tipo de cosas sobre las cuales quieren hablar las grandes empresas.
Sin embargo, Microsoft ha encontrado que la seguridad no es solo una preocupación de sus clientes grandes. Los sitios web y el correo electrónico son factores fundamentales para la marca de cualquier compañía y tienen que ser protegidos, afirma.
No encuentro a nadie despreocupado por la confianza, sostiene McNerney. El hombre de la pequeña empresa que opera en la web con su pequeño sitio de comercio, se encuentra tan preocupado por la seguridad como los tipos de las grandes empresas.
2. Prestar atención al cumplimiento. Para calmar los temores de sus clientes, Microsoft ha invertido mucho tiempo en organizar los controles necesarios para satisfacer los numerosos estándares de cumplimiento.
La compañía redujo 26 diferentes tipos de auditorías a una lista de 200 controles necesarios e hizo un mapa de aquellos controles en los ambientes y servicios de data center, afirma McNerney. La estandarización significa que Microsoft no tiene que darle a todos los clientes, o sus auditores, acceso a los data centers de la compañía.
Los grandes clientes empresariales quieren entender los controles, pero ¿a cuántas compañías permite ingresar a mi data center?, sostiene. Si uno se pone a pensar sobre lo que esto significaría, no hay forma de que yo permita que todos los clientes ingresen a las instalaciones.
En cambio, Microsoft tiene una estructura de cumplimiento acordado que permite que los auditores ordenen un menú de evaluaciones y obtengan los resultados. Todas las compañías van a entender las evaluaciones y los resultados, señala. Allí descansa la oportunidad y el cambio.
3. Se necesitan mejores estándares. Para servir mejor a los clientes, los grandes proveedores de la nube necesitan trabajar juntos para estandarizar sus plataformas, señala McNerney.
Amazon tiene un punto de vista; Yahoo tiene un punto de vista; Google tiene un punto de vista, sostiene McNerney. Pero todos nuestros enfoques son aún diferentes. La siguiente ola es que todos nosotros tendremos que unirnos en una infraestructura que tendremos que usar para hacerla superproductiva en la Web.
Por ejemplo, las compañías necesitan acordar una forma de manejar los ID universales. Los problemas con las identidades federadas en Internet no han sido resueltos en los estándares, señala. Los clientes van a esperar que éste (los servicios de la nube) sea un ambiente interoperable para ellos, indica.
4. Privacidad y seguridad no son tan diferentes. A medida que Microsoft aplicaba modelos de cloud computing a sus servicios y data centers, la diferencia entre seguridad y privacidad casi desapareció, sostiene McNerney.
El resultado, que es algo sorprendente, afirma, es que a medida que la compañía desarrolló sus herramientas para administrar la seguridad y la privacidad, los dos ideales no se diferenciaban mucho. La mayoría de las personas ven la seguridad en una forma y la privacidad en otra, advierte. Éstas se juntan de una forma mucho más entretejida en la nube.
5. No generalizar en la seguridad de la nube. Con el siguiente lanzamiento de la plataforma Windows Azure, Microsoft tendrá un nuevo conjunto de consideraciones, señala Jay Chaudhry, CEO ZScaler, empresa proveedora de seguridad como servicio en la web.
Las consideraciones de seguridad para cada servicio de la nube son diferentes, señala Chaudhry. Aunque servicios como las aplicaciones de oficina, servicios de correo electrónico, y acceso a bases de datos pueden crecer bien, otros servicio, como el de los servidores Exchange, requieren de mucha personalización y son difíciles de asegurar, sostiene. Las compañías necesitan ver áreas específicas y abordarlas apropiadamente, indica Chaudhry. No hay una única cosa que pueda ser implementada en todo el espectro de la cloud computing.
Las bases de datos como servicio, el almacenamiento como servicio, y la evaluación de la vulnerabilidad como servicio, todos tienen diferentes consideraciones de seguridad, señala. Y la próxima plataforma como servicio Azure también las tendrá.
Robert Lemos, CIO.com