[18/03/2013] Si el 2013 va a ser el año -como predicen los expertos- en que las empresas van a comenzar a implementar estrategias de nube híbrida; entonces, se deduce, que éste también será el año en que, en el centro del escenario, estará la seguridad de la nube híbrida.
Según los analistas, observadores de la industria y profesionales de seguridad, la mala noticia es que no hay una solución mágica sobre cómo llevar a cabo plenamente la seguridad en una nube híbrida.
Y esto es porque hay tantas facetas en seguridad en la nube híbrida: Está la cuestión de cómo asegurar los recursos de los centros de datos on-premise (en las instalaciones propias); cómo proteger las aplicaciones que saltan a la nube pública; cómo proteger los datos almacenados en múltiples proveedores de servicios cloud; cómo proteger las bases virtualizadas de sus nubes públicas y privadas; y por último, cómo asegurar los dispositivos móviles que se conectan a la infraestructura de nube.
Si eso no es suficientemente abrumador, otra razón por la cual no hay un una solución de talla única, es que la definición de nube híbrida está abierta a la interpretación.
Cada empresa tiene un nivel de confort diferente cuando se trata de la seguridad en general, y de la seguridad en la nube en particular. El plan de juego de una compañía puede ser mantener un conjunto mínimo de operaciones bajo llave dentro del centro de datos on-premise o en una nube privada, mientras que a la vez traslada los procesos de batch o los procesos de front-end de los usuarios a la nube pública. Sin embargo, este modelo para otro departamento de TI podría significar la peor pesadilla.
Estrategias de seguridad que funcionan
La buena noticia es que las empresas que ya emplean prácticas de defensa en profundidad a través de sus redes existentes, pueden aplicar esos mismos principios dentro de una estrategia de gestión de seguridad de nube híbrida.
La advertencia aquí, sin embargo, es que la gestión de TI debe comprometerse a desplegar una gran cantidad de planificación previa, a preparar a su personal para un poco de ajuste tecnológico de su política de seguridad, y a equiparse antes de que la nube híbrida sea puesta en producción.
"Por lo general en esta industria, la adopción de cualquier tecnología ocurre mucho antes de que las consideraciones de seguridad que la rodean se atiendan plenamente", señala Gary Loveland, director de la división de prácticas de PricewaterhouseCooper y jefe de prácticas de seguridad globales de la firma.
Con la nube híbrida, agrega Loveland, los clientes están siendo más claros sobre los requisitos de seguridad en la parte frontal, y están obligando a los proveedores de servicios de nube a que estén más preparados para tener respuestas sólidas sobre temas que van desde la definición y la garantía de la frontera entre varios inquilinos, el cumplimiento de PCI y FISMA y las capacidades de auditoría.
Pautas de la industria que pueden ayudar
La Cloud Security Alliance en el 2011 estableció el
CSA Security, Trust & Assurance Registry, un registro público accesible que documenta los controles de seguridad provistos por varios proveedores de servicios de nube. El registro, en el cual los fabricantes proveen la información sobre sus propios productos, está diseñado para ayudar a los usuarios a evaluar la seguridad de los proveedores de nube que actualmente contratan o están considerando contratar en el futuro. A la fecha, el registro contiene información de 20 proveedores.
El problema de fondo, señala Loveland, es que las empresas tienen que madurar lo suficiente en el uso de tecnología virtual y gestión de servicios en la nube para aprovechar las ofertas de seguridad más altas.
Jeff Spivey, vicepresidente internacional de ISACA, una asociación de profesionales de IS dedicados a la auditoría, control y seguridad de sistemas de información y vicepresidente del fabricante de seguridad móvil RiskIO, concuerda. Él ve con demasiada frecuencia que las TI empresariales asume que una vez que entregan parte de sus operaciones a un proveedor de nube, éste asume él solo la responsabilidad de la seguridad. "No es cierto, es en ese punto en que las TI necesitan llegar a ser aún más diligentes acerca de la implementación de seguridad a través de sus nubes", señala Spivey.
Señaló el
COBIT 5.0, la nueva versión del framework de ISACA para la gobernanza y la gestión de las TI empresariales, que delinea los objetivos de control de TI para la computación en la nube en general, como una guía sólida sobre cómo implementar la seguridad híbrida.
A medida que la bulla alrededor de la nube continúa creciendo, los departamentos de TI están siendo presionados por la administración para aprovechar algunos de los beneficios económicos prometidos por la nube. Pero es trabajo del departamento de TI asegurarse que no están poniendo en riesgo a la empresa por ir a la nube y ver esos beneficios.
De hecho, científicos de computación en la Universidad de Texas en Dallas han ideado un algoritmo que puede ayudar a las empresas a desarrollar una estrategia consciente del riesgo en la nube híbrida.
Según uno de los investigadores, el Dr. Murat Kantarcioglu, el sistema es un mecanismo eficiente y seguro de partición de los cálculos a través de máquinas públicas y privadas en un entorno de nube híbrida (ver el
paper).
Kantarcioglu y sus colegas han establecido un framework para la distribución de datos y procesamiento en una nube híbrida que cumpla con los objetivos contradictorios de rendimiento, riesgo de divulgación de datos sensibles y costos de asignación de recursos, consiguiendo balancear todo.
La tecnología se implementa como una herramienta complementaria para una infraestructura Hadoop y Hive basada en cloud computing y los experimentos del equipo muestran que su uso puede dar lugar a una ganancia de rendimiento mayor al explotar componentes de nube híbrida sin violar ninguna restricción de uso de nube pública predeterminada.
Tener que pensar en cómo las operaciones de nube híbrida encajan en el esquema de una empresa global de gestión de seguridad de información, podría ayudar a los departamentos de TI a establecer el nivel de seguridad adecuado para los procesos en toda la empresa, sostiene Pat O'Day, director de tecnología de BlueLock, un proveedor de servicio basado en la nube de VMware, en Minneapolis.
"Ahora hemos llegado a pensar acerca de cómo establecer el nivel adecuado de en una aplicación específica, un proceso específico o incluso una base de datos específica", señala O'Day, una condición que da a las empresas un buen margen de maniobra en términos de donde quieren gastar recursos en seguridad.
Rand Wacker, vicepresidente de productos en CloudPassage, un proveedor de seguridad de servidor de nube, sugiere que los clientes opten por el escenario de seguridad más estricto -muy probablemente relacionado con el uso de la nube híbrida, porque existe una relación directa entre la nube pública y los recursos en las instalaciones- y el establecimiento de la política de seguridad más estricta para ese nivel de riesgo.
Spivey, de ISACA, aconseja a sus clientes que sin importar lo que las políticas de seguridad establezcan, deben estar seguros de que es portable. "No cierre su política a su proveedor de nube”, señala Spivey. Llegará un momento en el tiempo en que tendrá que migrar de ellos, ya sea por razones de precio o de rendimiento y no tiene que repensar toda su política de seguridad para hacer el cambio, afirma.
Christine Burns Rudalevige, Network World (EE.UU.)