Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad en la nube


[24/06/2010] El cómputo en la nube es uno de los más discutidos tópicos de hoy entre los profesionales de TI. Y no pasa mucho tiempo en que una conversación sobre los más anunciados modelos de nube -software como servicio (SaaS), infraestructura como servicio (IaaS) o plataforma como servicio (PaaS)- se vuelva hacia la seguridad de la nube.
De acuerdo con Milind Govekar, un analista de Gartner, la nube se ha disparado hacia arriba en la lista, desde el número 16 hasta el número 2, en la encuesta anual de CIO de Gartner sobre las inversiones clave en tecnología. "Como todo lo nuevo, la preocupación principal es la seguridad", indica. De hecho, la vasta mayoría de los clientes que investigan sobre la nube, agrega, preferirán crear un data center virtualizado en sus propias instalaciones -lo que algunos llaman una nube privada- porque están incómodos con los problemas de seguridad planteados por el cómputo en la nube y la habilidad de la industria de contrarrestarlos.
"Estamos en las primeras etapas de un viaje fascinante hacia un nuevo modelo de cómputo que, por todas sus supuestas ventajas, desde un punto de vista de seguridad y riesgo es una cosa difícil de manejar", concuerda Jay Heiser, analista de Gartner. "Las cosas que lo hacen sencillo y atractivo -como la inmediata productividad de conectar y usar- también hace imposible evaluar de manera concluyente sus riesgos relativos". Las certificaciones actuales, tales como SAS 70 e ISO 27001 y 27002, no son suficientes, indica, lo que lleva a la frustración tanto de compradores como de vendedores.
Por esta razón, asegurar los ambientes de cómputo en la nube será uno de los principales focos en los esfuerzos de los fabricantes en el siguiente año, señala Jonathan Penn, analista de Forrester Research. A corto plazo, él ve a los usuarios teniendo que hacer muchos de los trámites, pero con el tiempo "los proveedores de nube verán la oportunidad de diferenciarse a sí mismos integrando seguridad", añade. Los fabricantes de seguridad acostumbrados a vender directamente a la empresa encontrarán que necesitan a estos proveedores de la nube como una forma de alcanzar el mercado, indica Penn, y a medida que el mercado madure, los clientes querrán estas cosas cocinadas en los servicios que están comprando. "Ese será un cambio radical y una ruptura", añade.
Mientras tanto, organizaciones tales como la Cloud Security Alliance (CSA), están trabajando para darle alguna forma a los problemas de seguridad y a las formas de resolverlos. La CSA recientemente publicó un resumen de los puntos complicados en estrategia y seguridad táctica dentro de un ambiente de nube, junto con recomendaciones de cómo manejarlos. La organización dividió los dominios en dos amplias áreas: gobierno y operaciones.
Los dominios agrupados bajo gobierno incluyen:
* Gobierno y ERM
* Legal y descubrimiento electrónico
* Conformidad con estándares y auditoría
* Gestión del ciclo de vida de la información
* Portabilidad e interoperabilidad
Los dominios agrupados bajo operaciones incluyen:
* Seguridad tradicional, continuidad de negocios y recuperación de desastres
* Operaciones de data center
* Respuesta, notificación y remedio ante incidentes
* Seguridad de las aplicaciones
* Encriptación y administración de claves
* Gestión de identidad y acceso
* Virtualización
La CSA también resume las principales amenazas del cómputo en la nube, junto con los modelos de nube con los cuales se relaciona más cada amenaza, y la guía para remediarlas.
Las categorías de herramientas que pueden ayudar a enfrentar estas herramientas incluyen XML, SOA y seguridad de aplicaciones; herramientas de encriptación para datos en tránsito y en descanso; gestión de claves inteligentes; gestión de logs; gestión de identidad y acceso; firewalls virtuales y otras herramientas de gestión de la virtualización; prevención de pérdida de datos; y más. "Usted está traduciendo la arquitectura de seguridad existente a la nube, así que hay muchas herramientas diferentes que necesitará, algunas de las cuales ya existen, y habrá otros casos en los que necesite nueva tecnología", señala Reiser.
Por ejemplo, las herramientas de búsqueda de malware necesitarán buscar específicamente nuevo malware que apunte a las plataformas virtuales; los sistemas de gestión de identidad necesitarán autenticar no solo a los usuarios sino también dispositivos y aplicaciones; y los sistemas de administración de información de seguridad (SIM, por sus siglas en inglés) necesitarán ingresar miles de millones de eventos y análisis.
Forrester también publicó una lista de preguntas que las empresas deberían hacer para asegurar su implementación en la nube, y que cubren las áreas de seguridad y privacidad, conformidad con los estándares, y otros temas legales y contractuales.
Capas de nube
Los expertos también enfatizan que el nivel de exposición y riesgo de los tres modelos de nube son muy diferentes, y la forma de abordar la seguridad también difiere, dependiendo de a qué capa se está dedicando. "Los requerimientos de seguridad son realmente los mismos, pero al ir de SaaS (software como servicio) a PaaS (plataforma como servicio) e IaaS (infraestructura como servicio), el nivel de control que tiene sobre la seguridad cambia", indica Mike Kavis, fundador de Kavis Technology Consulting y CTO en la nueva empresa. "Desde una visión lógica, nada ha cambiado realmente, pero cómo lo hace físicamente cambia de manera dramática".
SaaS: Como la CSA explica, con SaaS, las aplicaciones del proveedor corren sobre una infraestructura de nube y son accesibles desde un navegador web. El consumidor no administra o controla la red, servidores, sistemas operativos, almacenamiento e incluso las capacidades de las aplicaciones individuales.
Por esta razón, el modelo SaaS integra la mayoría de la funcionalidad directamente en la oferta, con la menor extensibilidad para los consumidores, y "las responsabilidades de seguridad dependen casi enteramente del proveedor", indica Reiser. "Si el proveedor no encripta los datos, no están encriptados. Si no hay monitoreo de actividad, no obtendrá ninguno".
PaaS: Con PaaS, los consumidores crean aplicaciones usando lenguajes de programación y herramientas soportadas por el proveedor, y luego implementadas en la infraestructura de nube, explica la CSA. Como con SaaA, el consumidor no administra o controla la infraestructura -la red, servidores, sistemas operativos o almacenamiento- pero sí tiene control sobre las aplicaciones implementadas y posiblemente las configuraciones del ambiente de hospedaje de las aplicaciones.
Hay menos características de seguridad listas para ser usadas por el consumidor o integradas con PaaS que con SaaS, indica la CSA, y aquellas que existen son menos completas, pero hay más flexibilidad para añadir seguridad adicional por capas. Esto significa que los usuarios necesitan poner atención a la seguridad de las aplicaciones, así como a los problemas de seguridad que rodean las API de administración, tales como autenticación, autorización y auditoría.
IaaS: Aquí, los consumidores pueden proveer procesamiento, almacenamiento, redes y otros recursos de cómputo fundamentales, así como implementar y ejecutar sistemas operativos y aplicaciones, de acuerdo con la CSA. Si bien ellos no administran o controlan la infraestructura de nube subyacente, ellos sí tienen control sobre los sistemas operativos, almacenamiento y aplicaciones implementadas, y posiblemente control limitado de componentes de red seleccionados, tales como host firewalls, dice la CSA.
Con IaaS, hay pocas capacidades de seguridad integradas más allá de proteger la infraestructura en sí misma, pero hay enorme extensibilidad, de acuerdo con la CSA. Esto significa que los usuarios necesitan administrar y asegurar los sistemas operativos, aplicaciones y contenido, típicamente a través de un API.
"Mucho del perímetro de seguridad es manejado por el proveedor, pero ellos le están dando acceso a las máquinas virtuales, de modo que aún tiene que construir la aplicación y proveer el control de infraestructura", señala Kavis.
Con IaaS, la administración de la virtualización es una gran preocupación, señala Heiser, particularmente cuando se refiere a la detección de intrusos y la integridad de particionar máquinas virtuales. "Necesita mediar la separación, y asegurarse de que no interactúen una con otra", agrega.
Chris Barber, CIO en Wescorp, señala que él está preocupado por la multitenencia y las vulnerabilidades del hipervisor. "Ya que tiene múltiples usuarios en una sola caja física, podría haber una vulnerabilidad de seguridad que tenga que ver con que un usuario tenga de alguna manera acceso a la máquina virtual de otro usuario", señala.
Cuatro ejemplos
Quizás la mejor forma de comprender mejor la seguridad de la nube es a través de ejemplos específicos. Aquí hay una mirada a algunas de las mayores preocupaciones que tienen los usuarios y cómo cuatro compañías han elegido manejarlas.
Modelo de nube: SaaS
Preocupación de seguridad: Inicio único de sesión
Cuando Lincoln Cannon fue contratado hace 10 meses como director de sistemas web en una compañía de dispositivos médicos de 1,500 empleados, él quiso ayudar al departamento de márketing a hacer un cambio hacia Google Apps y una aplicación de entrenamiento basada en SaaS llamada eLeap, en aras de disminuir costos de desarrollo y mejorar la productividad.
Sin embargo, hubo algunas preocupaciones. Los ejecutivos de márketing no querían que los usuarios tuvieran más de un acceso, y TI quería retener el control de acceso sobre las aplicaciones, especialmente en lo que se refería a añadir nuevos empleados y eliminar sus cuentas cuando dejaban la compañía.
Cannon se volvió hacia un sistema de acceso único de Symplified, el cual se comunica con Active Directory para verificar las credenciales del usuario que está tratando de acceder a la aplicación de nube. Google Apps utiliza API para descargar autenticación de usuarios a un único proveedor de acceso, indica Cannon, pero con eLeap, el sistema necesitaba utilizar un adaptador de autenticación.
De cualquier manera, "es una especie de guardián", señala Cannon. "Para llegar a nuestra instancia de entrenamiento eLeap o Google Apps, tiene que autenticarse con el proveedor de acceso único". Y ese está sincronizado con Active Directory. "Nosotros definimos, a través de Symplified, cuáles de nuestras cuentas tienen acceso a estas aplicaciones SaaS, y cuando matamos la cuenta en Active Directory, previene que cualquiera pueda utilizar esa cuenta para acceder a esas aplicaciones SaaS", señala Cannon.
El sistema Symplified puede operar en un modelo SaaS por sí mismo, pero la compañía de dispositivos escogió implementar un router administrado por Symplified detrás de su firewall. Esto lo hizo porque TI no quería manejar cuentas de usuario y contraseñas en la nube. "Todo eso sucede detrás del firewall", agrega Cannon.
Modelo de nube: IaaS
Preocupación de seguridad: Encriptación de datos
En el Banco Flushing en Nueva York, el CIO Allen Brewer se volvió hacia la nube para respaldar datos después de hartarse del respaldo en cintas in situ. Utilizando Zserver de Zecurion, Flushing ahora está enviando datos sobre internet para que sean almacenados como respaldo. La principal preocupación para el banco era la encriptación de los datos y encontrar un proveedor que pudiera acomodar el algoritmo de encriptación que el banco ya había desarrollado. "Algunos dependen del proveedor para que les brinde encriptación, pero nosotros hacemos la nuestra", señala Brewer. "Todo lo que enviamos y almacenamos está encriptado en el sitio del proveedor".
Varios proveedores de almacenamiento de respaldo basado en nube instalan aparatos en el sitio del cliente para suministrar la encriptación, pero Flushing no estaba interesado en esa instalación. Brewer también escogió Zecurion porque él conoce la ubicación del data center donde su información está almacenada. "Sabemos que uno de sus tres data centers tiene nuestros datos -no es solo enviarlos a la nube y no saber dónde están los datos", agrega.
Modelo de nube: Privada, nube en las propias instalaciones
Preocupación de seguridad: Virtualización
Cuando Matt Reidy, director de operaciones de TI en Snag­AJob.com, se embarcó en la renovación de tecnología de la empresa durante tres años, su objetivo era moverse desde un ambiente que estaba 75% virtualizado, a una nube privada de cómputo seguro 100% virtualizada, utilizando servidores blade Dell corriendo VMware y vSphere en su núcleo. 
Como una puntocom emprendedoramente enérgica de gran crecimiento, señala Reidy, SnagAJob quería la flexibilidad de un modelo de nube, pero "no estábamos listos para utilizar servicios de nube de otros proveedores. Muchas de las cosas que hacemos se marchitarán de manera temprana, mientras otras cosas despegarán, y tener una infraestructura de nube virtual permitirá todo eso con mínima inversión en talento, y en lo que se dedica tiempo a acelerar nuevas cosas".
Antes de la renovación tecnológica, SnagAJob tuvo una infraestructura multinivel, con firewalls que brindaban una separación física entre la web, las aplicaciones y las capas de bases de datos. Reidy fue capaz de lograr una virtualización del 100% eliminando los firewalls físicos e implementando un firewall virtual de Altor Networks. El único lugar donde un firewall físico continuará existiendo es en el perímetro, además de un dispositivo de prevención y detección de intrusos.
Antes de la versión 4 de vSphere, explica Reidy, podía conseguir dispositivos firewall que funcionaran como máquinas virtuales , pero "estaban severamente limitadas en su desempeño, porque el tráfico de red tenía que pasar a través de esas máquinas virtuales", señala. Pero ahora, vSphere incluye una API llamada VMsafe que permite a los proveedores de firewall como Altor, Checkpoint y otros mover la inspección del tráfico hacia el kernel de VMware.
"Eso mejora el desempeño, la estabilidad y la seguridad por un factor de 10", señala Reidy. Con el firewall virtual de Altor, el equipo de Reidy también puede ver, por primera vez, qué tráfico está fluyendo entre cuáles máquinas virtuales, incluyendo protocolos y volúmenes de datos. "Eso es un reto en el espacio de nube virtual -los productos tradicionales no capturarán eso", agrega. "Somos capaces de estrechar más nuestra seguridad porque podemos ver lo que está fluyendo y escribir reglas basadas alrededor de lo que vemos versus lo que pensamos que está sucediendo". Otros productos que permiten tal visibilidad, indica, incluyen NetFlow de Cisco Systems y J-Flow de Juniper, así como un estándar de sistemas abiertos llamado sFlow.
Modelo de nube: IaaS
Preocupaciones de seguridad: Virtualización, continuidad de negocios, auditoría
En su nueva empresa, Kavis ha elegido utilizar Amazon para hospedar su infraestructura entera. Antes de hacer eso, él se sentó con un especialista de seguridad, quien identificó todos los requerimientos para implementar las máquinas virtuales. Luego, Kavis construyó una imagen virtual aplicando esos controles y creó una instantánea que podía replicar en cualquier momento en que necesite instalar una nueva máquina virtual.
"Amazon le provee el software de imagen virtual, pero no le aplica la seguridad", señala Kavis. "Con PaaS, se encargarían de todo eso por mí, pero con IaaS, yo puedo construir la seguridad al nivel que quiero, y tengo mucha más flexibilidad sobre lo que la máquina está haciendo".
Kavis también tiene que realizar todas las funciones que haría un administrador de sistemas, tales como abrir y cerrar puertos, escribir configuraciones y bloquear la base de datos, lo cual hace utilizando la pila LAMP, provista por Amazon de manera comercial. Kavis está 100% cómodo con el perímetro de seguridad provisto por Amazon, el cual está "a un nivel que muy pocas compañías pueden lograr", señala.
Para asegurar la continuidad del negocio, Kavis replica todo al menos en dos ambientes adicionales, en diferentes zonas. "La única forma en que puedo estar totalmente caído es si múltiples zonas de Amazon están caídas", agrega. "Y Amazon tiene una muy alta confiabilidad en cada zona específica, así que nunca hemos tenido todo caído a la vez". Con IaaS, él enfatiza, "depende de mí construir una arquitectura que pueda tener una alta confiabilidad".
Una preocupación que Kavis tiene que enfrentar es la auditoría. "Debido a que las reglas no han cambiado para reflejar el cómputo de nube, las regulaciones aún requieren visitas a la caja física, y no puede hacer eso en la nube pública", señala. Para datos que caen dentro de las regulaciones de conformidad con estándares, Kavis planea utilizar una nube virtual privada. "El proveedor dirá: 'Aquí está su servidor, encerrado en una jaula, y si alguna vez tiene una auditoría, puede traer a los auditores a mirarlo'. Nosotros utilizaremos eso para aprobar auditorías, pero todo lo demás estará en la nube pública". Incluso si él necesita hospedar ciertos tipos de datos in situ, señala, "aún descargaremos procesamiento hacia la nube pública para obtener esos beneficios de escala y costo".
Mary Brandel, CSO (US)