Llegamos a ustedes gracias a:



Reportajes y análisis

Cuatro tips esenciales de seguridad en la nube

[25/10/2011] Más y más departamentos de TI empresariales -a medida que se sienten cómodos con las prácticas de virtualización en sus propias nubes privadas- están considerando la posibilidad de dar un salto a la nube pública. Pero antes de dar ese salto, tenga en cuenta estos consejos de los que ya lo hicieron.
1. Asegúrese de que su proveedor tenga seguridad específica para máquinas virtuales
"Los hipervisores nunca fueron diseñados realmente para ejecutarse en un entorno público", señala Beth Cohen, arquitecto senior cloud para de la consultora Cloud Technology Partners.
Este hecho no significa necesariamente que dejen de ser seguros, añade Cohen. Pero sí requiere de una estrategia de seguridad más elástica que puede hacer frente a los problemas de las máquinas virtuales (VM) que se mueven alrededor de la infraestructura subyacente, interactuando con aplicaciones en la nube, y dando apoyo a múltiples inquilinos.
Los clientes que entran a la nube pública tienen que entender que la seguridad del perímetro -que necesita estar en su lugar en cualquier entorno de centro de datos virtual- no va a ayudar con la seguridad interna de las máquinas virtuales, añade Michael Berman, director de tecnología de Catbird Networks, un proveedor que se centra en la seguridad de la máquina virtual.
Tanto Cohen como Berman señalan a los posibles consumidores de nubes a vShield de VMware, que es un producto que ofrece servicios de seguridad integrados a la base hipervisor de VMware, y un conjunto de API que permiten que los proveedores externos de seguridad construyan los servicios de seguridad en la plataforma superior de VMware.
Dean Coza, director de gestión de producto para productos de seguridad en VMware, señala una docena de proveedores de seguridad que anunciaron productos que aprovechan vShield para entregar productos de seguridad de máquinas virtuales en la conferencia VMworld del mes pasado.
Sin embargo, VMware es solo uno de los proveedores de software de virtualización que hay, y la compañía ha dicho muy poco sobre cómo estas herramientas ayudarán a asegurar otras máquinas virtuales populares de Microsoft y Citrix.
2. Encuentre una manera de bloquear los puntos finales
Las predicciones para las ventas de dispositivos móviles son asombrosas. Forrester afirma que las ventas de tablets llegarán a 208 millones en el 2014. Gartner afirma que mil 100 millones de smartphones serán vendidos en el año 2015. Las empresas que se trasladen a la nube deben prepararse para muchos más de estos dispositivos de tipo de consumidor, tratando de llegar a los datos corporativos y aplicaciones en la nube.
"El BYOD (traiga su propio dispositivo, por sus siglas en inglés) es un tema enorme, porque ahora tiene dispositivos que no son propietarios tratando de acceder a sus datos a través de redes que no controla", señala Tom Clare, director senior de marketing de producto de Websense , un proveedor de seguridad de contenido.
Jacob Braun, presidente y COO de Waka Digital Media, un proveedor de servicios de seguridad gestionada y consultoría en el oeste de Massachusetts, señala que una manera de ayudar a limitar el número de usuarios que quieran usar dispositivos personales en la red corporativa, es mediante la creación de barreras políticas.
Estas incluyen la limitación de lo que pueden hacer en la máquina mientras está conectada a la red, que tengan que pagar por la protección de malware móvil, y confiscar el equipo si hay un problema de seguridad.
Pero hay circunstancias legítimas por darle a la alta dirección un acceso controlado a través de la nube. La empresa de Braun utiliza productos como el módulo de administración de dispositivos móviles de Kaseya, que es parte de la plataforma global de gestión del sistema TI del proveedor, para obtener ese tipo de control.
Joe Coyle, director de tecnología de Capgemini Consulting, sostiene que con el fin de apoyar de manera eficaz a los dispositivos móviles debe asegurarse de que la identidad del sistema de gestión de su proveedor concuerde con la identidad interna.
"Vienen de todas partes, por lo que si los bloquea en sus roles establecidos a través de la gestión de identidad consistente, entonces tiene una oportunidad decente para asegurarse de que no están recibiendo los datos a los que ellos -o sus máquinas- no tienen derecho", señala Coyle.
3. Presione a que su proveedor cloud ponga la seguridad en el SLA
El estándar de los acuerdos a nivel de servicio del proveedor cloud (SLA por sus siglas en inglés) toca levemente la seguridad, por lo que es una advertencia al comprador.
"Asegúrese de que su proveedor esté dispuesto a avanzar mucho más allá de un simple seguimiento de su uso del servicio", añade Torsten George, vicepresidente de marketing global en Agiliance, un proveedor de seguridad que ofrece gobierno, riesgo y cumplimiento de los servicios.
Los clientes tienen derecho a presionar para conocer a fondo la postura de cumplimiento de un proveedor, su situación de seguridad general y la forma en que se acumula puntos de referencia para mejores prácticas de seguridad.
"Definitivamente impulse un SLA de seguridad personalizada", señala Jeremy Crawford, director de tecnología de MLSListings, un servicio regional de listado múltiple (MLS) con sede en Silicon Valley que soporta más de cinco mil corredores y 18 mil suscriptores. Crawford ha negociado SLA centrados en seguridad con tres proveedores de nube pública. Él ha echado un vistazo al estándar del acuerdo de seguridad de los proveedores, pero acepta solo a un 50% del lenguaje en la mayoría de los casos. Él presiona por un lenguaje más favorable en relación con la visibilidad en los sistemas de los proveedores, y establece condiciones específicas sobre la responsabilidad compartida que debe haber en caso ocurra una violación.
"Tiene que tener los dientes en el contrato, o no tendrá las piernas para pararse si hay una fuga de datos", señala Crawford.
4. Actúe con rapidez
Richard Reese, gerente de consultoría en servicios virtuales de EMC, dice que las empresas deben moverse rápidamente en un plan estratégico global para impulsar sus procesos de negocio hacia la nube pública de una manera controlada. De esta manera, se evitan los bolsillos corruptos de nube pública dentro de las empresas.
"Siempre me sorprende la rapidez con que los proyectos piloto departamentales se transforman en aplicaciones críticas de negocio", señala Reese. Debido al costo relativamente bajo de la entrada en la mayoría de aplicaciones de nube pública, la probabilidad de que se estén utilizando sin el conocimiento de la nube pública es bastante alta.
Christine Burns, Network World