Llegamos a ustedes gracias a:



Noticias

Google Cloud aumenta la seguridad y el cumplimiento

[16/07/2020] Google está tomando medidas importantes para asegurar los datos de los clientes en la nube cuando son utilizados por las aplicaciones, y para evitar el acceso potencialmente no autorizado a cargas de trabajo informáticas sensibles ejecutadas por instituciones gubernamentales y sus contratistas. Para cumplir con los estrictos requisitos de seguridad y cumplimiento de las industrias altamente reguladas y de los gobiernos, la compañía presentó dos nuevas ofertas de Google Cloud llamadas Confidential VMs y Assured Workloads for Government.

Computación confidencial y encriptación de datos en uso

Existen muchas soluciones para cifrar los datos en reposo cuando se almacenan en bases de datos o en tránsito cuando se transmiten por Internet entre servidores o clientes. Sin embargo, el mayor desafío para la seguridad de los datos es proteger la información mientras está siendo procesada por las aplicaciones en la memoria de una computadora.

Históricamente, este ha sido un problema difícil de resolver porque las aplicaciones necesitan descifrar los datos en la memoria antes de realizar las operaciones, y es difícil evitar que una parte no autorizada que tiene control sobre el sistema operativo u otra aplicación los lea en esa etapa. Así es como el malware de raspado de la RAM roba la información de las tarjetas de pago de los sistemas de puntos de venta.

La respuesta al cifrado de datos en memoria de los fabricantes de CPU ha sido incluir en sus conjuntos de chips procesadores dedicados seguros que son independientes de la CPU principal y ejecutan sus propios mini sistemas operativos. Éstos se conocen como entornos de ejecución de confianza (ETE, por sus siglas en inglés) y pueden utilizarse como enclaves seguros porque su memoria asignada está aislada de la del sistema operativo principal. Las CPU ARM vienen con TrustZone, las CPU de Intel tienen Software Guard Extensions (SGX) y los procesadores AMD tienen la tecnología de Virtualización Cifrada Segura (SEV).

Hoy, Google anunció el lanzamiento de la versión beta de Confidential VMs, el primer producto de su portafolio de Computación Confidencial, el cual está construido sobre la característica SEV de la segunda generación de CPUs AMD EPYC. Esta nueva tecnología proporciona a los clientes la capacidad de cifrar toda la memoria de sus máquinas virtuales en la nube con claves únicas que se generan en la CPU y no son exportables.

Google no es el primer proveedor de nube que ofrece computación confidencial. Microsoft agregó enclaves basados en Intel SGX a Azure en el 2018, pero hay algunas diferencias significativas entre la forma en que Intel SGX y AMD SEV funcionan y el tipo de escenarios de ataque que abordan.

Intel SGX fue diseñado para permitir que la memoria de una aplicación sea encriptada y permanezca protegida incluso en el caso de que el sistema operativo se vea comprometido. Por lo tanto, es una característica por aplicación, en la que la aplicación configura un enclave SGX y cambia a él cada vez que necesita desencriptar y realizar operaciones con los datos. La ventaja es que los datos nunca salen del enclave en estado no cifrado, pero la desventaja es que las aplicaciones necesitan ser modificadas o rediseñadas para poder utilizar esta capacidad en primer lugar.

AMD SEV se centra en encriptar la memoria de máquinas virtuales enteras en lugar de aplicaciones. Su objetivo es proteger la seguridad de los datos de los clientes dentro de una máquina virtual en caso de que el hipervisor o el propio sistema operativo del host se vean comprometidos. La desventaja es que los datos no están protegidos si un atacante obtiene acceso a la propia VM protegida o al sistema operativo huésped y las aplicaciones que se ejecutan en su interior.

"El principal beneficio de empezar con SEV de AMD es que no tienes que recompilar su aplicación", señaló Sunil Potti, vicepresidente y director general de Google Cloud. "Cuando sondeamos a muchos de nuestros clientes, esa fue la mayor reacción que obtuvimos para asegurar la adopción masiva de las máquinas virtuales confidenciales: Que no quieren recompilar y rediseñar sus aplicaciones. Así que, con nuestra tecnología, usted simplemente levanta y cambia sus cargas de trabajo como VM o de otra manera, y en un período de tiempo, a medida que introducimos nuevas tecnologías de seguridad, los clientes también pueden aprovecharlas".

Google aborda parcialmente el escenario de compromiso del SO huésped mediante el uso de imágenes de VM endurecidas con verificación de integridad criptográfica para evitar el malware a nivel de núcleo y la escalada de privilegios. Esto ya ha sido parte de la oferta de Google Cloud bajo el nombre de Shielded VMs.

"Hemos construido VM confidenciales sobre las VM blindadas para endurecer la imagen de su sistema operativo y verificar la integridad de su firmware, los binarios del kernel y los controladores", indicó Google en una entrada de blog. "Las imágenes ofrecidas por Google incluyen Ubuntu v18.04, Ubuntu 20.04, OS optimizado para contenedores (COS v81), y RHEL 8.2. Estamos trabajando con CentOS, Debian, y otros distribuidores para ofrecer más imágenes confidenciales del SO".

Google también ha trabajado estrechamente con AMD para asegurar que las métricas de rendimiento de las máquinas virtuales confidenciales se acerquen lo más posible a las máquinas virtuales no confidenciales. Este esfuerzo incluyó el desarrollo de nuevos controladores de código abierto de alto rendimiento para el almacenamiento de alto rendimiento y el tráfico de red. Las máquinas virtuales confidenciales se ejecutan en los tipos de máquinas de la serie N2D de Google Cloud que admiten hasta 224 vCPU con 8GB de memoria por vCPU.

Cumplimiento mejorado para cargas de trabajo sensibles

Además de la Computación Confidencial, Google ha lanzado una beta privada para una nueva oferta que llama Assured Workloads for Government, que tiene como objetivo permitir a las instituciones gubernamentales y a sus contratistas alcanzar los niveles de seguridad y cumplimiento que necesitan directamente en la nube pública. Tradicionalmente, las soluciones de nube para los gobiernos se construyen sobre centros de datos separados y entornos aislados que podrían no beneficiarse de todas las características y la potencia de computación de las ofertas de nube pública.

Para salvar esa brecha, el programa Assured Workloads for Government de Google permite a los usuarios restringir la ubicación de los datos almacenados y de los recursos de la nube a regiones específicas -por ahora solo en Estados Unidos-, así como evitar las malas configuraciones accidentales mediante la elección de controles de seguridad y políticas organizativas incorporadas y predefinidas. Los clientes también pueden optar por restringir el acceso del personal de asistencia de Google a sus cargas de trabajo en función de la nacionalidad de la persona, de su ubicación geográfica y de las comprobaciones de sus antecedentes.

El programa Assured Workloads for Government permite a los clientes cumplir con las normas establecidas por el Departamento de Defensa (es decir, IL4), la División de Servicios de Información de Justicia Penal (CJIS) del FBI y el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP), dijo Google en una entrada de blog.