Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad de la nube pública: ¿Misión imposible?

[25/10/2011] Un día, los vendedores de seguridad y proveedores de servicios en la nube van a convencer a los departamentos de TI que es seguro mover sus datos sensibles y aplicaciones de misión crítica de la nube privada a la nube pública.
Por desgracia, ese día no ha llegado todavía.
Profesionales de seguridad, consultores y analistas entrevistados para este artículo dicen que los proveedores de seguridad y de servicios en la nube tienen un largo camino por recorrer antes de que los clientes empresariales encuentren una zona de confort en la nube pública, o incluso en un despliegue híbrido público/privado.
Cuando se les preguntó sobre predecir acerca de cuándo es que los departamentos de TI de las empresas estarán dispuestos a elevar su nivel de juego hacia la nube pública en la que actualmente almacenan datos no sensibles y consumen un poco de SaaS de entidades de confianza, como Salesforce.com, a la ejecución de aplicaciones críticas del negocio, las respuestas variaron de seis meses a dos años.
Por lo tanto, ¿qué dificulta la adopción de nube pública? Las dudas sobre la seguridad en la nube pública se centran en:
* Preocupaciones sobre la seguridad de los canales de comunicación dentro de redes virtuales de inquilinos múltiples.
* La incertidumbre acerca de cómo es que el cada vez mayor número de dispositivos móviles heterogéneos se podrá soportar firmemente en la nube.
* Una ruta inconsistente para extender la identidad y los mecanismos existentes de control de acceso utilizados en la empresa hasta en la nube.
* Preguntas sobre cómo es que los confiables modelos encriptados y de tokenización necesitan ser cambiados, para que protejan adecuadamente los datos confidenciales almacenados en la nube pública.
Estos potenciales problemas técnicos se ven agravados por el hecho de que los proveedores de nube pública son notoriamente reacios a proporcionar un buen nivel de visibilidad en sus prácticas de seguridad subyacente. Una empresa, al no tener una ventana adecuada en la postura de seguridad de su proveedor cloud, detendrá los procesos necesarios de auditoría y las pruebas de conformidad.
Pero todas las fuentes consultadas confían en que la seguridad de la nube pública eventualmente alcanzará el nivel que las empresas esperan encontrar en sus redes privadas.
Dolores de crecimiento
La nube pública ya ha pasado la etapa de la infancia, señala Jacob Braun, presidente y COO de Waka Digital Media, un proveedor de servicios de seguridad gestionada y consultoría con sede en el oeste de Massachusetts.
"Es más como una adolescente talentoso que se ha mudado a una nueva comunidad. Ella ve las cosas un poco diferente que los demás. Ella maneja las cosas de manera diferente. La gente está intrigada porque es un poco fresca, pero al mismo tiempo le tienen recelo porque todavía es un poco impredecible", añade Braun.
Pero denle un poco más de tiempo y la mayoría querrá empaparse de su popularidad.
Los analistas, consultores y clientes dicen que se animan por anuncios de productos de seguridad establecidos, así como por las nuevas empresas que se ocupan de muchos de estos puntos problemáticos percibidos en la seguridad de la nube.
Los clientes son conscientes de que esta extensa conversación sobre la seguridad en la nube pública se está llevando a cabo antes de que hayan sido obligados a entrar en ella, lo que es un cambio de lujo con respecto a cómo se llevaban los últimos cambios en la seguridad corporativa, tales como migrar a la LAN, crear un cliente/servidor de las operaciones y la apertura de la empresa a la Internet.
"Los administradores de seguridad simplemente tratan los problemas de seguridad posteriores a la implementación, los que ya que surgieron", señala Gary Loveland, uno de los directores de Advisory Practice de Pricewaterhouse Cooper, y líder en la práctica de seguridad global de la empresa.
Con esas experiencias a sus espaldas, los departamentos de TI de las empresas están trabajando en los temas de seguridad en la nube pública de forma proactiva. "Antes de añadir la nube pública a la mezcla, se están haciendo las preguntas correctas que obligarán a que sus posibles proveedores proporcionen una nube... que esté asegurada con la mayoría -si no todos- los controles que necesita en su lugar", señala Loveland.
De acuerdo con un estudio publicado a finales de julio por Aberdeen Group llamado "Mejores prácticas de seguridad y nube", casi la mitad de los departamentos de TI, de las 110 empresas encuestadas, dijeron que están tomando un enfoque que consiste en ejercer presión sobre los proveedores de servicios en la nube para poner en práctica fuertes prácticas de seguridad y aumentar la de quienes tienen tecnología que sigue bajo control de la empresa, cuando las medidas de los proveedores de nube parecen quedarse cortas.
"La confianza empresarial de la nube pública es bastante limitada en este momento", señala Jon Oltsik, analista principal de Enterprise Strategy Group. Pero esa desconfianza no refleja -necesariamente- una evidencia sólida de que la seguridad en la nube pública sea mala, añade.
Por ejemplo, Oltsik deice que Amazon "está haciendo cosas increíbles para construir seguridad en su infraestructura EC2, adquiriendo todas las certificaciones adecuadas y contratando personal de seguridad con mucho talento", y tiene más de 500 controles de seguridad que deben proporcionar un cierto nivel de comodidad a los clientes empresariales.
De acuerdo con Simon Crosby, ex CTO de Citrix y fundador de Bromium, una empresa nueva que busca construir productos que utilicen la virtualización para asegurar a los clientes móviles, los temores legales y de cumplimiento que se plantean hoy en día son remanentes de cómo se hacía la informática hace diez años.
Las estructuras de nubes públicas que se construyen hoy en día tienen más capacidad de resistencia a ataques que una red privada, señala Crosby.
"Si me pide que construya una aplicación segura, que sea 24/7 en todo el mundo y no tenga riesgo de robo de datos, construiría algo como Netflix, que se ejecuta en la nube pública de Amazon", agrega Crosby. "Hay 30 mil millones de objetos en esa tienda. Siga adelante y trate de encontrar mis cosas allí. Y están tan distribuidos que pueden resistir ataques DDoS masivos de todo tipo de fuentes anónimas. Sí, yo lo construiría en la nube pública. Y no perdería ningún dato".
Según un estudio de seguridad en la nube escrito por Phil Hochmuth, director del programa de productos de seguridad de IDC, los usuarios no son tan optimistas sobre ese punto. Cuando se les preguntó si pensaban que la arquitectura de un proveedor cloud podría ser más segura que su propia arquitectura interna, solo un tercio de las 500 organizaciones encuestadas dijeron que sí.
Sin embargo, entre los que ya habían saltado a implementaciones de nube pública o híbrida, más de la mitad de cada grupo estuvo de acuerdo en que los proveedores ofrecen mayor seguridad que sus respectivos equipos de TI.
Richard Reese, gerente de los servicios de consultoría de nube virtual de EMC, sugiere que hay algunas cargas de trabajo empresariales que verían su postura de seguridad mejorada en gran medida al ser puestas en la nube pública. Por ejemplo, la mensajería. En la encuesta de IDC, la seguridad para la mensajería resultó ser la plataforma de software como servicio más prevalente. Se utiliza en el 30% de las 250 empresas encuestadas, y en casi una cuarta parte de las 250 pymes encuestadas.
"Los administradores de seguridad TI han luchado durante años para hacer frente a cosas como la firma digital y la encriptación automática de clave pública/privada para correo electrónico seguro", señala Reese. Esos parámetros de seguridad se aplican en la nube por los profesionales de TI que las entienden completamente. Y se activan de forma predeterminada en la nube pública, porque para un proveedor es más económico administrar de forma coherente un perfil de usuario de alta seguridad a través de su base de clientes.
"Así que consigue automáticamente aquel alto nivel de protección de la nube que no habría podido ofrecer por una variedad de razones comerciales y logísticas propias de usted", señala Reese.
Larry Campbell es el vicepresidente de administración de información y tecnología de DAI, una empresa de proyectos de desarrollo internacional en Bethesda, Maryland, con dos mil profesionales del desarrollo esparcidos por todo el mundo. DAI primero construyó una nube privada para comprender mejor las cuestiones relacionadas con la informática virtualizada, pero este año completó una migración a la nube pública con múltiples proveedores.
DAI trabaja con NaviSite para ejecutar sus bases de datos Oracle en la nube y, recientemente se fue con VirtuStream para organizar sus unidades de datos compartidos, ejecutar un portal SharePoint y administrar sus servicios de mensajería.
Hubo muchas idas y vueltas con NaviSite y VirtuStream antes de que Campbell fuera capaz de asegurarse de que las prácticas de los proveedores de seguridad coincidían con las que ya tenía DAI. "Pero al final, la realidad es que somos una empresa de tamaño mediano que no tiene un gran presupuesto de TI. Estos proveedores de nube pública cuentan con personal técnico que tiene una mayor comprensión de los problemas de seguridad en la nube que los que tenemos dentro de nuestra compañía", añade Campbell.
La prueba está en la auditoría
El modelo de negocio de la nube pública depende de un entorno dinámico en el que puede albergar diferentes tipos de cargas de trabajo que se puedan mover, con el fin de optimizar la infraestructura subyacente. Los clientes quieren asegurarse de que se han establecido controles para proteger sus cargas de trabajo de los ataques, y quieren poder ver la información de esos controles a un nivel muy granular.
"Pero ese nivel de detalle está fuera del alcance de los modelos de negocio de la mayoría de proveedores de la nube pública". Ahí está la desconexión", afirma Oltsik.
Los proveedores de nube pública han tenido notoriamente los labios apretados sobre los detalles relativos a sus prácticas de seguridad por dos razones. En primer lugar, no quieren revelar las prácticas de seguridad que les dan una ventaja competitiva; y, en segundo lugar, no quieren exponerse a los potenciales vectores de ataque.
Claro, algunos proveedores le dan un pequeño panel de control que proporciona una ventana a sus servicios que se ejecutan en su nube. Pero, de acuerdo con Beth Cohen, arquitecto senior de Cloud Technology Partners, la mayoría no proporciona suficiente información profunda sobre la seguridad como para satisfacer a los clientes empresariales. Cohen cree que es poco probable que la industria vea una gran mejora en esta área porque "no es probable que la mayoría de proveedores cloud regale la tienda".
Cohen cree que es más probable que los proveedores cloud seguirán buscando grupos de certificación de terceros, como SAS 70, ISO 2077 y PCI DSS, para ayudar a proporcionar un poco de tranquilidad a sus clientes empresariales. Se puede obtener la certificación sin tener que divulgar públicamente la forma en que están cumpliendo con sus promesas de seguridad.
Tim Brown, de CA Technologies, quien se desempeña como jefe de arquitectos de seguridad para la unidad de soluciones de seguridad de su compañía, está de acuerdo. "Si hay un proveedor de servicios en la nube que ha superado todas las pruebas para obtener una certificación reconocida públicamente, será mucho más rápido que un cliente opte por ese proveedor aprobado, en lugar de buscar la certificación por sí mismo".
"Pero aún no llegamos a ese punto", señala Brown.
La Cloud Security Alliance (CSA) -un grupo industrial de proveedores independientes al que se le atribuye una luz constante en materia de seguridad en la nube- está acunando el tema de la divulgación del proveedor cloud con un registro STAR. La CSA tiene considerable influencia, tanto con proveedores como clientes, debido al trabajo que hace de escudero para compilar y publicar documentos de orientación sobre mejores prácticas de seguridad cloud.
El registro CSA STAR está abierto a todos los proveedores de la nube y les permite presentar informes de autoevaluación que documenten el cumplimiento de las mejores prácticas publicadas por CSA. El registro de búsquedas -que saldrá en línea este mes- permitirá que los clientes potenciales revisen las prácticas de seguridad de los proveedores, acelerando la debida diligencia y conduciendo a mayor calidad en las experiencias de contratación.
"Hay un término medio razonable entre la seguridad propia y revelación justa" y ese es el nivel de información que se coloca en el registro STAR, señala Jim Reavis, director ejecutivo de la CSA. La matriz CSA realiza más de 200 preguntas en las áreas de cumplimiento, datos de gobernabilidad, seguridad física, seguridad de los recursos humanos, seguridad de la información, requisitos legales, gestión del riesgo, resistencia de gestión de versiones, y la arquitectura de seguridad.
La pregunta, sin embargo, sigue siendo cuántos proveedores de servicios cloud van a estar dispuestos a otorgar la información necesaria.
Según el director de investigación de CSA, JR Santos, la organización está trabajando en la participación de los proveedores a partir de dos ángulos. "Estamos tratando de crear un ambiente competitivo de presión amigable en el lado del vendedor, y esperamos que los clientes hagan referencia a la parte del registro estrella de su proceso de contratación para ayudar a impulsar la demanda".
Juan Ambra, director de servicios técnicos de Modulo, un proveedor de servicios de gestión de riesgos en Atlanta, trabaja con clientes de grandes empresas para evaluar los riesgos que implica asumir nuevos productos y servicios para el despliegue tanto en las oficinas como en la nube.
El registro STAR proveerá suficiente información sobre el entorno en que un proveedor cloud se basará de acuerdo a los servicios que está considerando, señala Ambra.
"Si está buscando sus entradas a la mesa de ayuda, entonces ese nivel de información está bien para usted. Pero si quiere usarlo para transacciones con tarjeta de crédito, todavía va a tener que hacer el trabajo de campo y hacer una escala de evaluación in situ", comenta Ambra, señalando que con la mayoría de los acuerdos SLA de nube pública en la actualidad, la responsabilidad por los problemas de seguridad (y por lo tanto la carga de la debida diligencia) se mantiene de lleno en el cliente.
El número de clientes empujando a que los grandes proveedores de nube pública asuman parte de la responsabilidad por las violaciones de seguridad es todavía muy pequeño, afirma Michael Berman, director de tecnología de redes de Catbird, una empresa de seguridad virtual en Scotts Valley, California. Catbird trabaja con clientes empresariales para asegurar sus nubes privadas y es utilizado por Amazon en su nube pública.
"Amazon está haciendo un montón de dinero entregando CPU, ancho de banda y almacenamiento, mientras que no asume ninguna responsabilidad por los datos sensibles almacenados allí", señala Berman. "La economía para hacer que eso cambie aún no ha llegado".
Christine Burns, Network World